W programach Internet Explorer 4.x i 5.x istnieje luka, która powoduje, że odwiedzane strony WWW mogą odczytywać zawartość plików na dysku lokalnym.

Ostatnie wersje pakietów pocztowych Outlook i Outlook Express do wyświetlania wiadomości wykorzystują kod wbudowany w przeglądarkę, oznacza to więc, że również każdy otwierany list może zawierać mechanizm umożliwiający obejrzenie zawartości dysku, nawet gdy nie zawiera dołączonych plików lub programów.

Lukę w Internet Explorer wykrył Georgi Guninski, który specjalizuje się w wykrywaniu błędów oprogramowania oferowanego przez Microsoft. Guninski jest też autorem strony internetowej, która demonstruje ten błąd: jeśli ktoś połączy się z tą witryną, to wyświetla ona listę wszystkich plików zapisanych w głównym katalogu dysku lokalnego komputera. Przed wykonaniem tego testu lepiej jednak zainstalować odpowiednią poprawkę dla przeglądarki Internet Explorer, która jest już oferowana przez Microsoft, albo samodzielnie wykonać opisaną niżej procedurę.

Krok 1. Po uruchomieniu przeglądarki należy kolejno wybrać menu Narzędzia, polecenie Opcje internetowe, zakładkę Zabezpieczenia, zaznaczyć ikonę Internet i kliknąć przycisk Poziom niestandardowy.

Krok 2. Po przewinięciu listy Ustawienia aż do wpisu Microsoft VM/Uprawnienia Java, trzeba zaznaczyć pole wyboru Niestandardowe, kliknąć przycisk Niestandardowe ustawienia języka Java, a następnie zakładkę Edycja uprawnień.

Krok 3. Poniżej wpisu Uruchamiaj nie podpisaną zawartość znajdują się trzy przyciski (Uruchamiaj w "piaskownicy", Wyłącz i Włącz) - należy zaznaczyć pozycję Wyłącz i przejść do wpisu Podpisana zawartość/Uruchamiaj podpisaną zawartość i tam zaznaczyć przycisk Monituj.

Krok 4. Wystarczy kliknąć przyciski Zresetuj i OK (tak), aby zapisać zmiany wprowadzone w konfiguracji przeglądarki.

Powyższa procedura powoduje, że aplety Java i różnego rodzaju dodatki wysyłane przez anonimowe serwery WWW są wyłączane. Jeśli natomiast twórca apletu wprowadził podpis, przeglądarka wyświetli monit pytający użytkownika komputera o akceptację.

Po wprowadzeniu wyżej przedstawionych zmian do konfiguracji przeglądarki, można bezpiecznie odwiedzić stronę WWW zaprojektowaną przez Guninskiego (http://www.guninski.com/javacodebase1-desc.html) i przekonać się, jak łatwo zwykła strona WWW lub przesyłka pocztowa mogą odczytać zawartość dysku lokalnego.

Rada, dotycząca rekonfiguracji Internet Explorera przed uruchomieniem demonstracji Guninskiego, wynika z przeprowadzonego testu, który wykazał, że jeśli tylko nie zabezpieczony komputer raz połączy się z tą stroną, będzie ona w stanie przeglądać dysk nawet po wprowadzeniu opisanych wyżej poprawek. wBrian Livingston jest publicystą amerykańskiego tygodnika InfoWorld wydawanego przez IDG. (tłum. jch)