DK-CERT: Brug IE8 eller skift til en anden browser
Den danske, statslige sikkerhedsorganisation DK-CERT advarer nu imod at bruge Microsofts forældede browser Internet Explorer 6 efter afsløringen af en grim og hidtil ukendt sårbarhed i browseren.
Det sker efter sidste uges angreb mod blandt andet Google, hvor sårbarheden blev brugt til at bryde ind og opnå fuld kontrol med angrebne computere.
Sårbarheden kan for eksempel udnyttes ved at lokke en bruger til at klikke på et link i en mail, eller i en modtaget besked i et chat-program, som kan tage brugeren med videre til en hjemmeside med skadelig kode.
Microsoft arbejder pt. på en rettelse, der fjerner sårbarheden, men det vides endnu ikke hvornår den er klar. Samtidig er koden til at udnytte sårbarheden blevet lagt frit tilgængelig på nettet.
DK-CERT anbefaler derfor, at man opgraderer til den nyeste version af Microsoft-browseren, Internet Explorer 8, eller skifter til en helt anden browser.
»Sårbarheden findes i alle nyere versioner af Internet Explorer. Men den er kun set udnyttet i praksis på Windows XP med Internet Explorer 6. Sikkerhedsfunktionerne i Internet Explorer 8 gør, at selvom sårbarheden findes, kan den ikke udnyttes til at afvikle programkode,« skriver DK-CERT i en udmelding om sårbarheden.
Skru op for sikkerheden i IE 6 og 7 Er man tvunget til at bruge Internet Explorer 6 eller 7, skal man ifølge DK-CERT sætte sikkerhedsniveauet for Internet-zonen til Høj. Samtidig kan man aktivere sikkerhedsforanstaltningen Data Execution Prevention (DEP).
DK-CERT anbefaler også at sætte sikkerhedsniveauet til højt i Internet Explorer 8, selvom den som standard er beskyttet af sikkerhedsfunktioner som DEP.
Udover at sårbarheden i Internet Explorer 6 ikke var kendt på forhånd, har også selve den trojanske bagdør vist sig at tilhøre en hidtil ukendt familie og var dermed ikke bare en ny variant af én af de mange kommercielle bagdøre, der dominerer malware-universet.
Samtidig har bagmændene brugt flere lag med kryptering og andre teknikker for at skjule deres færden.
Microsoft har i kølvandet på de seneste angreb udsendt en opfordring til at opgradere til Internet Explorer 8. Ifølge Microsoft Danmark benytter 6,6 procent af de danske brugere sig af Internet Explorer 6, og hovedparten af dem kommer fra virksomheder.
Kommentarer (4)
Uuuhh nej, det er jo politisk betændt. MS lukker i Vedbæk og hvad med børnene, tænkt på børnene! Firefox er "et fucking lorteprogram", fordi det ikke ligner IE.
-
0 -
0
Jeg tror mere problemet handler om at man i sin tid fik lavet en stribe virksomheds-applikationer, f.eks. CRM-systemer o.lign. som er webbaserede.
Desværre blev de applikationer skrevet af ignoranter som i deres naivitet ikke så nogen grund til at følge HTML-standarden så længe det virkede i den installerede version af MSIE.
Nu sidder virksomhederne så med store forretningskritiske IT-systemer som er baseret på tåbelige kravspecifikationer. Deres problem er at de ukritisk har baseret hele deres IT-infrastruktur på Microsoft-afhængig software i den tro at verden var statisk.
- Og alligevel ser man dagligt virksomheder reklamere med at de har en Microsoft strategi.
Hvis de pågældende virksomheders IT-afdelinger havde haft en ansvarlig ledelse, ville de på forhånd have fravalgt alle typer løsninger som ikke var baseret 100% på åbne standarder.
Den måde Microsoft håndterede HTML (eller hvad man skal kalde den pseudokode) på i MSIE 4, 5 og 6, var, for nu at sige det diplomatisk, mindre hensigtsmæssig.
Derfor udgør alle de systemer som er udviklet af inkompetente udviklere (den familie af udviklere som ikke så nogen grund til at overholde eksisterende standarder, så længe det virkede i virksomhedens nuværende webbrowser) i den periode, reelt et kæmpe sikkerhedsproblem, for virksomhederne kan ikke opgradere IE6 til noget nyere (som kræver HTML-kompatible dokumenter), da de risikerer at selve hovednerven i deres IT-infrastruktur bryder sammen, når deres forretningskritiske systemer pludselig ikke længere fungerer.
- Og jeg taler her af bitter erfaring fra en større dansk virksomhed.
-
0
-
0
Ja, du har evig ret, der er rigtigt mange fæle IE-only korthuse rundt omkring.
Det værste er selvfølgelig at når man har en enkelt IE-only skod-app inde i huset så er der ikke nogen straf for at indføre en mere.
Man burde som virksomhed fjerne IE fra alle maskiner og i stdet have IE-tab i Firefox til de få elendige legacy apps der kræver IE.
MS har et stort ansvar for rodet, de burde have sat en rød 10 pixel ramme på html siderne i IE når den kører i quirks-mode, på den måde kunne klytmiklerne nemt se når de havde lavet noget griseri.
Suk
-
0
-
0
