Microsoft hastelapper alvorligt hul i Explorer - men vent med at sy lappen på

En alvorlig 0-dages-sårbarhed har ramt Microsofts Internet Explorer 8-browser. Sikkerhedsfirma opfordrer dog til, at virksomheder ikke bruger Microsofts midlertidige fix-it-lappegrej, men venter til opdatering i næste uge.

Et kritisk sikkerhedshul er blevet opdaget i Internet Explorer, Microsofts internetbrowser. Der er ifølge sikkerhedsfirmaet CSIS tale om en 0 dages-sårbarhed, som gennem målrettet spear phishing kan inficere din computer.

Ud fra CSIS’s analyser er angrebet centreret om Internet Explorer 8 installeret på WIndows XP og Windows 7-maskiner.

Microsoft selv har erkendt problemet og sendt et fix-it-værktøj ud, som skal lappe sikkerhedshullet. Sikkerhedsfirmaet CSIS fraråder dog, at man bruger lappegrejet, fordi værktøjet ikke virker. CSIS anbefaler i stedet, at man opdaterer sin browser, når Microsoft d. 8. januar sender en egentlig patch på gaden.

Ifølge CSIS består sikkerhedshullet i, at en Flash-fil bruges til at gennemføre heap spraying mod browseren.

Tilbage i september måned 2012 måtte Microsoft også lukke et alvorligt sikkerhedshul i Internet Explorer, der ved hjælp af små kodestumper kunne tage kontrollen over brugeres computer ved hjælp af malware.

Læs også: Microsoft lukker sikkerhedshul i Internet Explorer

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Sune Marcher

I det oprindelige angreb bliver Flash brugt til at lave heap spray - altså en "to-trins raket" med 3rd party kode for at kunne eksekvere kode, og ikke blot forårsage browser crash.

Det ser dog ud til at metasploit modulet laver heap spray uden brug af andet end IE selv? - eller benytter HeapLib flash/java/whatever under the hood?

  • 0
  • 0
Log ind eller Opret konto for at kommentere