Nyt kritisk sikkerhedshul i Internet Explorer 6 og 7

En ny 0-dags sårbarhed i Microsoft Internet Explorer udnyttes aktivt i målrettede angreb. Der er endnu ingen løsning på problemet.

Microsoft advarer mod et nyopdaget sikkerhedshul i Internet Explorer 6 og 7. It-kriminelle har allerede udnyttet hullet til at plante informationstyve hos IE 6- og IE 7-brugere, der besøger inficerede websites.

Ifølge sikkerhedsfirmaet CSIS er der tale om Zeus/Zbot-informationstyve, der indlejret i et script på de inficerede hjemmesider.

Sårbarheden bliver blotlagt, når en invalid pointer kaldes fra Microsoft Internet Explorer efter et objekt er blevet slettet. Ifølge CSIS skaber det en dinglende pointer, der kan misbruges til at afvikle arbitrær kode under Microsoft Internet Explorer 6 og 7 igennem det fejlbehæftede bibliotek "iepeers.dll".

Hullet er endnu ikke blevet lappet, men eftersom Internet Explorer 8 ikke er ramt, kan en løsning være at opgradere til den seneste browser fra Microsoft. Alternativt kan man deaktivere active scripting. Endelig skriver CSIS, at man »med fordel kan placere en ACL (access control list, red.) på komponenten 'iepeers.dll', der er omdrejningspunkt i sårbarheden.«

Da sikkerhedsbristen er kritisk, rammer mange brugere og endnu ikke har fået en lap, går spekulationerne på, at Microsoft vil være nødt til at udsende lappen til hullet, lige så snart den er blevet lavet, i stedet for at vente til den månedlige opdaterings-dag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Steen Jørgensen

Hullet er endnu ikke blevet lappet, men eftersom Internet Explorer 8 ikke er ramt, kan en løsning være at opgradere til den seneste browser fra Microsoft.

...bortset fra at brugere af Windows 2000 ikke får lov til at downloade og installere IE7 eller -8.

  • 0
  • 0
Venligst Slet Min Bruger

...bortset fra at brugere af Windows 2000 ikke får lov til at downloade og installere IE7 eller -8.

Så er det vel også på tide at opgradere - enten til Windows 7 eller et linux-system.

Synes ikke man kan forvente, at et 10 år gammelt system stadig skal supporteres på den måde.

  • 0
  • 0
Anonym

Så lad os stryge 10 år gamle biler.

ej, den skulle bare lige ud.

De kunne jo også.. tadaaa sørge for at IE8 kunne installeres på w2k

  • 0
  • 0
Venligst Slet Min Bruger

Hehe. Det svarer vel nærmere til, at Ford ikke vil give 10 år gamle biler gratis opdateringer til deres ABS-system :)

Jeg savner dog stadig et godt argument for, hvorfor MS skulle lave IE8 til Windows 2000. Det virker som en masse unødigt arbejde for omkring 3% af markedet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere