Nyt kritisk sikkerhedshul i Internet Explorer 6 og 7

Microsoft advarer mod et nyopdaget sikkerhedshul i Internet Explorer 6 og 7. It-kriminelle har allerede udnyttet hullet til at plante informationstyve hos IE 6- og IE 7-brugere, der besøger inficerede websites.

Ifølge sikkerhedsfirmaet CSIS er der tale om Zeus/Zbot-informationstyve, der indlejret i et script på de inficerede hjemmesider.

Sårbarheden bliver blotlagt, når en invalid pointer kaldes fra Microsoft Internet Explorer efter et objekt er blevet slettet. Ifølge CSIS skaber det en dinglende pointer, der kan misbruges til at afvikle arbitrær kode under Microsoft Internet Explorer 6 og 7 igennem det fejlbehæftede bibliotek "iepeers.dll".

Hullet er endnu ikke blevet lappet, men eftersom Internet Explorer 8 ikke er ramt, kan en løsning være at opgradere til den seneste browser fra Microsoft. Alternativt kan man deaktivere active scripting. Endelig skriver CSIS, at man »med fordel kan placere en ACL (access control list, red.) på komponenten 'iepeers.dll', der er omdrejningspunkt i sårbarheden.«

Da sikkerhedsbristen er kritisk, rammer mange brugere og endnu ikke har fået en lap, går spekulationerne på, at Microsoft vil være nødt til at udsende lappen til hullet, lige så snart den er blevet lavet, i stedet for at vente til den månedlige opdaterings-dag.