4 nye sikkerhedshuller i Internet Explorer på Windows Phone

Det drejer sig om fire sårbarheder, der kan give hackerne adgang til smartphones, hvis ofret besøger en ondsindet side eller åbner en inficeret fil. Fejlene blev opdaget for et halvt år siden, og er ikke relaterede til Hacking Team-lækagen.
Det skriver amerikanske Computerworld.

Fejlene blev rapporteret gennem Hewlett-Packards ’Zero Day Initiative’ (ZDI) program i januar.

HP har en afdeling for netværkssikkerhed, som betaler for information om nuldages-sårbarheder i populære programmer. Det er deres firmapolitik, at fejlene bliver hemmeligholdt indtil softwareproducenten har fået 120 dage til at udgive en opdatering.

Den ene sikkerhedsfejl blev anvendt af Nicolas Joly i november 2014 til hacking konkurrencen Pwn2Own, som arrangeres af ZDI. Sikkerheds-researcheren Joly tjente 600.000 kroner den dag på forskellige softwarefejl. De tre andre Internet Explorer sårbarheder blev indrapporteret til ZDI af Abdul-Aziz Hariri i januar 2015.

Efterfølgende kontaktede ZDI Microsoft flere gange, for at tilbyde dem udsættelse på 120-dages fristen. Nu er tålmodigheden tilsyneladende sluppet op, efter at Microsoft fortsat ikke har dækket de fire kritiske sikkerhedshuller på mobilplatformen.

I ZDIs offentliggørelse udelades dog mange tekniske detaljer om sårbarhederne, for at Microsoft kan nå at udgive en opdatering, inden ondsindede hackere formår at udnytte fejlene.

Opdateret kl. 14: Det fremstod i første omgang i artiklen, at problemet både omfattede computere og smartphones, men vi er siden blevet opmærksomme på, at fejlen kun omfatter smartphones.