Pas på: Hackere misbruger gabende sikkerhedshul i Internet Explorer

Et nyt sikkerhedshul i alle versioner af Internet Explorer fra 6 til 9 bliver udnyttet til at sprede en trojansk bagdør fra inficerede websteder.

Den samme gruppe, som for nylig stod bag målrettede angreb ved hjælp af et hidtil ukendt sikkerhedshul i Java, har forsøgt at udnytte et ligeledes ukendt sikkerhedshul i Internet Explorer.

Ifølge Microsoft er alle officielle versioner af Internet Explorer fra 6 til 9 på alle desktop-versioner af Windows sårbare. Den eneste version, som ifølge Microsoft ikke er sårbar, er den nye Internet Explorer 10, som indtil videre kun findes i Windows 8.

Sikkerhedsblogger Eric Romang opdagede den kode, som bliver brugt til at udnytte sikkerhedshullet, på de samme servere, som er blevet brugt til at sprede malware ved hjælp af sikkerhedshuller i Java og Adobe Flash.

Den kode, som er blevet brugt, er nu i omløb, hvilket dels giver flere malwaregrupper adgang til den, men også giver sikkerhedsfirmaerne mulighed for at genkende forsøg på at udnytte sikkerhedshullet.

For at udnytte sikkerhedshullet skal en bruger lokkes til at besøge en hjemmeside, som enten er inficeret med den ondsindede kode eller er oprettet specifikt til formålet. Det kan ske gennem eksempelvis et link i en e-mail.

Microsoft oplyser, at selskabet er i færd med at undersøge sikkerhedshullet og vil tage stilling til, om det kan lappes gennem den næste planlagte opdatering den 9. oktober, eller om en ekstraordinær opdatering er nødvendig og kan testes og distribueres inden da.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Martin Nyhjem

Det håber jeg da meget der er. Ca halvdelen af den seriøse IT medarbejders kunder bruger IE, og man må da gå ud fra at denne seriøse IT medarbejder sørger for at dennes produkter virker hos denne ret store del af kunderne? Og for de seriøse IT folk, som arbejder med support, er det vel ganske relevant at vide hvad der sker på dette område, så man bedst muligt kan hjælpe ens kunder? Det er trods alt det denne seriøse IT medarbejder får sin løn for.. :)

  • 21
  • 4
#4 Michael Krog

Ifølge statcounter er det knap 1/3 der er på IE - det er stadig en del, men der er et stykke op til halvdelen.

Ser vi isoleret på Europa er vi på knap 28% mens Danmark i sig selv sæføli blamerer med deres Microsoft lidenskab og i en spurt væk fra Norge(31%), Sverige(34%) og Tyskland(25%) scorer 39,9% på IE-fronten.

  • 11
  • 2
#5 Brian Højen-Sørensen

Jeg ville jo nok udvide det til.

Der er vel ingen seriøse IT-folk der bruger Windows?

Desværre ved alle hvad enten man er Linux-tosse som mig eller Mac-mand, at man ofte kommer ud for at det ene eller det andet kun virker ordentligt til IE eller MS-Office. (har begge dele installeret i Wine selvom jeg ikke er glad for det)

  • 6
  • 12
#6 Martin Nyhjem
Michael Krog: Hehe, det er rigtigt, men det kommer også an på hvem man henvender sig til.

På to af vores websites f.eks., har vi under 10% IE brugere på den ene side, men over 80% IE brugere på den anden. Så hvad den samlede udbredelse er, stemmer ikke nødvendigvis overens med den brugergruppe der benytter ens system :) Og når nu vi er ved udbredelse, så er det kun 46% af vores brugere som har silverlight installeret, og kun 33% af denne gruppe, kører med den nyeste udgave af silverlight.. :/

  • 0
  • 0
#11 Jesper Poulsen

Det håber jeg da meget der er.

Seriøse IT-folk har da for længst smidt Windows ud og er skiftet videre til en Unix eller Unix-lign. platform.

En webbrowser bør ikke være sovset så meget ind i et operativsystem, at et hul i browseren er carte blanche til hele det underliggende system. Det er et absolut fejldesign. Min favoritbrowser er af samme grund blevet udskiftet fra Firefox til Chromium. Sandboxing er vejen frem.

  • 4
  • 7
#13 Jesper Poulsen

Brugerne sandboxer ikke og kører virtuelle maskiner. De kører IE og har HP printere.

Så man vil blot brandslukke og samtidig kalde sig for seriøs IT-mand M/K?

De setups jeg supporterer (hjemmesystemer såvel som firmasystemer) har for længst fået fjernet de mest usikre lag. Alt Microsoft klyt-software (IE og mail-klienter) er væk og erstattet med mere sikre løsninger der ikke er bundet tæt op på de centrale dele af OS'et. Jeg har trods alt faglig stolthed tilbage.

  • 6
  • 5
#15 Lars Kr. Lundin

En webbrowser bør ikke være sovset så meget ind i et operativsystem, at et hul i browseren er carte blanche til hele det underliggende system.

Et OS kan gen-installeres med ganske få linjers input og en kaffepause. Brugerdata er langt mere sårbare.

Så jeg er sådan set ligeglad med at et hul i browseren kan kompromittere hele systemet - endnu mere fordi der for mange systemer findes separate sårbarheder, der kan eskalere priviligier.

  • 1
  • 3
#16 Michael Wörffel Intile

Jo, det er der Jesper Poulsen, hvis ellers brugere kan regnes for seriøse IT-folk. Vi er særdeles tilfredse med IE og for den sags skyld Windows. Det er muligt at det ikke er god tone hos nogen (som absolut skal være så "skæve" som muligt), men vi anvender Microsoft Word, Excel og IE dagligt og så er Windows faktisk den perfekte platform til AutoCad (og hvorfor filen skulle man betale det 3-dobbelte for en Mac - den kan intet en PC ikke kan).

  • 3
  • 2
#17 Gustav Nikolaj

IE er en håbløs browser, på alle punkter. Det eneste der taler til IE's fordel er udbredelsen. Der er en grund til at webudviklere hader den.

Det værste system er dog den håbløse opdaterings håndtering. Opdateringer on-the-fly ala Google Chrome er vejen frem - de fleste andre browser vendors bevæger sig også i den retning nu. MS har prøvet at lappe lidt på det med IE10 - men vi skal nok trækkes med IE8 i et årti mere, og derefter bliver IE10 den nye skurk...

Tyskerne har opdaget det; http://www.reuters.com/article/2012/09/18/net-us-microsoft-browser-idUSB...

  • 2
  • 0
#20 Gustav Nikolaj

@Carsten, generelt, så er w3schools ikke en troværdig kilde. Men udbredelsen af de forskellige browsere varierer meget fra land til land og i de forskellige miljøer. Som der vidst var en der nævnte tidligere i tråden kan man alligevel ikke bruge dem til ret meget, det eneste der gælder er det data du samler ind om netop den side du arbejder med.

@Michael Intele, muligvis skyldes det, at IT-folkene er de eneste der har en baggrund for at vurdere det givne produkt. Nuvel, der har været meget religionskrig på området - men objektivt set, så er Microsofts af dårligere kvalitet hvis du kigger på deres evne til at følge standarderne som bliver udstukket af W3C. Tag et kig på caniuse.com - så kan du selv se, hvorfor IE (og især IE<9) betegnes som en klods om foden for udviklingen af internettet som medie.

Din analogi omkring bilen synes jeg ikke rigtigt holder. Jeg tror ikke, at IE ville have nogen særlig udbredelse, hvis folk rent faktisk vidste at de havde et valg. Men hvis vi nu alligevel følger tankeeksperimentet til dørs, så ville det ikke ændre de parametre, som brugeren har valgt browseren ud fra, hvis Microsoft gjorde sig den umage at følge de standarder som findes og sørgede for at holde deres browser ved lige.

Tænk hvis applikationsudviklere var bundet til at udvikle software som skulle kunne afvikles på en computer fra 2001 - eller grænsen for hvad du kunne gøre med en smartphone app, var ved Snake og lignende spil fra Nokia's telefoner fra starten af sidste årti...

Det er ikke religiøs anti-ms fanatisme, men IE er altså bare en håbløs browser, set fra et teknisk synspunkt. Derfor kan du stadig godt være glad for dens UI - det har jo ikke så meget med det at gøre - men vil du så ikke gøre mig, og resten af verden, den tjeneste at installere Chrome Frame plugin'et? ;-) http://www.google.com/chromeframe

  • 2
  • 1
Log ind eller Opret konto for at kommentere