Sikkerhet

Kinesisk Sikkerhetsforskere sikkerhetsforskere utgav feilaktig koden som trengs for å hackere en PC ved å utnytte et uoppdatert sikkerhetsproblem i Microsofts Internet Explorer 7-nettleser, som potensielt setter millioner av datamaskinbrukere i fare - men det ser ut til at noen hackere allerede visste hvordan de kunne utnytte feilen. Ett punkt, koden ble handlet for så mye som USD 15 000 på de underjordiske kriminelle markedene, ifølge iDefense, datasikkerhetsgrenen til VeriSign, med henvisning til et blogginnlegg fra det kinesiske laget.

Problemet i Internet Explorer 7 betyr en Datamaskinen kan bli smittet med skadelig programvare bare ved å besøke et webområde, en av de farligste datasikkerhetsscenariene. Det påvirker datamaskiner som kjører IE7 på Windows XP, uavhengig av oppdateringspakkeversjonen.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Microsoft har bekreftet problemet, men ikke angitt når det vil frigjøre en oppdatering.

Sårbarheten ble først avslørt tidligere i uken av det kinesiske sikkerhetslaget "knownsec." Knownsec sa tirsdag at de feilaktig utgitt utnyttet kode, og trodde at problemet allerede var lappet, sa iDefense.

"Dette er vår feil," sa knownsec i et kinesisk-språklig forskningsnotat.

Den feilen kan bety at flere hackere vil forsøke å bygge nettsteder for å kompromittere brukernes PCer, siden utnyttningskoden er mer fritt flytende rundt på Internett. Imidlertid viser andre opplysninger at hackere allerede visste hvordan det virket før utgivelsen. Ifølge knownsec oppstod et rykt tidligere i året om en feil i Internet Explorer, skrev iDefense.

Informasjon om sikkerhetsproblemet ble angivelig solgt i november på det underjordiske tilbakemarkedet for US $ 15.000. Tidligere i måneden ble exploitene solgt andre eller tredje hånd for $ 650, sa iDefense, med henvisning til knownsec.

Til slutt utviklet noen et trojansk hesteprogram - en som virker skadelig, men er faktisk ondsinnet - som er utformet for å stjele informasjon relatert til kinesisk-språket PC-spill, et populært mål for hackere.

Nå blir andre nettsteder bygd som inneholder utnyttelsen. Hackere forsøker da vanligvis å få folk til å besøke disse nettstedene via spam eller uønskede direktemeldinger.

iDefense sa i et notat at sårbarheten er "veldig stygg", og at datasikkerhetsprofessorer kan være på en tøff tur. Microsoft utstedte sin største gruppe patcher om fem år på tirsdag, og skyldes ikke en vanlig oppdatering til 13. januar, selv om den kunne velge å utføre en nødutgivelse.