De nieuwste `bug' in de Internet Explorer is aan het licht gebracht door LOpht Heavy Industries, een groep hackers in Boston die zich naar eigen zeggen toelegt op informatie- en privacy-vraagstukken. Volgens één van de hackers, die zich van de schuilnaam Dildog bedient, is het mogelijk om in een webpagina een regel HTML te stoppen waarmee je op de lokale computer van een bezoeker commando's kunt geven. Met de LOpht-bug zou het mogelijk zijn om bestanden te maken, te wissen, te wijzigen èn uit te voeren. Daarvoor moet een hacker een hyperlink maken die begint met res://… Deze speciale link is ontworpen om de Internet Explorer 4.0 toegang te bieden tot lokale webinformatie die is opgeslagen in DLL's, de `dynamic link libraries' waarin Windows-programma's gezamenlijke taken kunnen vinden. Microsoft gebruikt deze link bijvoorbeeld voor zijn ingebouwde rondleiding voor Internet Explorer 4.0, die is opgeslagen in het bestand IE4TOUR.DLL. Door een `res://-link' langer te maken dan 256 tekens loopt kan de geheugenbuffer van IE 4.0 `overlopen'. Alle tekens die na de 256-grens komen worden in het geheugen van de computer geplaatst. Wie aan het einde van een lange hyperlink dus machinetaal plaatst, kan de PC van de surfer allerlei taken laten uitvoeren – van nuttig tot uiterst destructief. Op zijn website heeft de hackersgroep een voorbeeld geplaatst van een hyperlink die de computer kan laten struikelen. Op de PC van WebWereld kwam de Internet Explorer tot stilstand met een foutmelding dat er een ongeldige bewerking was uitgevoerd. We konden de browser verder zonder problemen afsluiten en gewoon verder werken. LOpht Heavy Industries meldt dat de interne beveiliging van de Microsoft-browser geen bescherming biedt tegen de bug. De hackersgroep wijst er op dat alle programma's die gebruik kunnen maken van hyperlinks gevaar opleveren: dus ook Outlook Express (het e-mailprogramma van IE 4.0), de browser zelf en de Verkenner van Windows 95 / NT. Microsoft heeft de zaak in onderzoek. De Amerikaanse softwarereus zegt dat zijn ingenieurs er niet in slagen om een computer via de LOpht-methode te laten crashen en hoopt op snel overleg met de bugvinders.