Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 21/10/2004
Microsofts sikkerhedsrettelser til Internet Explorer har ikke fjernet muligheden for at misbruge træk-og-slip til at få udført kode på offerets pc.Det fremgår af et indlæg, som sikkerhedsforskeren, der kalder sig Http-equiv, sendte til diskussionslisten Full-Disclosure den 19. oktober. Han har tidligere demonstreret, hvordan en sårbarhed kunne udnyttes til at placere en programfil på offerets pc. Det krævede blot, at angriberen overtalte offeret til at trække og slippe et grafisk element på en webside for eksempel i form af en rulleskakt.
Den sårbarhed fjernede Microsoft med de rettelser, der blev udsendt i denne måned. Men efter nogle eksperimenter har Http-equiv fundet frem til en alternativ metode, der giver samme resultat.
Microsoft har altså endnu ikke lukket sikkerhedshullet, men man kan selv lukke det ved at foretage en ændring i registreringsdatabasen. Sikkerhedsfirmaet CSIS har lavet en fil, der udfører ændringen, den kan hentes på firmaets websted. Alternativt kan man bruge firmaet Pivx' program Qwik-Fix.