Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 4/1/2011
Et værktøj har fundet en lang række sikkerhedshuller i Internet Explorer og andre browsere. Et af hullerne i Internet Explorer menes at være kendt, men er ikke set udnyttet endnu.Værktøjet, Cross_fuzz, er udviklet af Michal Zalewski, der arbejder for Google. Det foretager en stresstest af browsere ved at udarbejde særdeles komplicerede dokumenter og foretage operationer på tværs af dem.
Ifølge Michal Zalewski har Cross_fuzz fundet godt 100 fejl i browsere som Internet Explorer, Firefox, Opera og WebKit-baserede browsere (såsom Safari).
Værktøjet finder typisk fejl, der får browseren til at gå ned. I nogle tilfælde kan sådan et nedbrud udnyttes til at afvikle programkode.
Flere af fejlene er blevet rettet, siden han tog kontakt til leverandørerne i juli måned. Microsoft har ikke rettet nogen af fejlene i Internet Explorer. Firmaet er nu ved at undersøge dem nærmere.
Michal Zalewski har grund til at tro, at en af sårbarhederne i Internet Explorer også er blevet opdaget af folk uden kendskab til hans værktøj. Det kan han se ud fra en Google-søgning, der førte folk hen til webstedet for Cross_fuzz. Søgningen gik via Googles server i Hongkong.
Han har gjort værktøjet offentligt tilgængeligt, så andre kan tjekke browsere for sikkerhedshuller. Ifølge Michal Zalewski vil det kræve en del arbejde at omsætte den viden, som værktøjet giver, til et praktisk anvendeligt angrebsprogram, der udnytter en sårbarhed.