Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 27/11/2009
Et sikkerhedshul i Internet Explorers beskyttelse mod cross-site scripting-angreb gør browseren sårbar over for cross-site scripting.Hvad sikkerhedshullet nærmere går ud på er endnu ikke oplyst. Men flere sikkerhedsforskere er enige om, at det eksisterer.
Cross-site scripting-sårbarheder på websteder gør det muligt for uvedkommende at afvikle script-kode i brugerens browser. Mange websteder har cross-site scripting-sårbarheder, fx fordi de ikke tjekker indholdet af tekst, der indtastes i URL'er eller søgefelter.
Internet Explorer fik med version 8 et filter, der skal beskytte mod angreb, som udnytter cross-site scripting-sårbarheder på websteder.
Men ifølge blandt andre sikkerhedsforsker Giorgio Maone er der et alvorligt sikkerhedshul i funktionen. Ironisk nok gør hullet det muligt at udnytte cross-site scripting.
Sårbarheden skyldes, at filteret fungerer ved at omskrive den kode, browseren modtager. Denne omskrivningsfunktion kan angribere udnytte.
Giorgio Maone skriver på sin blog, at han ikke vil oplyse nærmere, før Microsoft har lukket hullet. Men det vil blive svært på grund af den måde, firmaet har designet sit filter på.
Giorgio Maone står selv bag det gratis cross-site scripting-filter NoScript til Firefox.