Critical Zero-Day Flaw åpner hull i IE 6 og 7

En nyoppdaget trussel som ikke har noen oppdatering, kan tillate et nettbasert angrep mot oppdaterte Internet Explorer 6 og 7 nettlesere, ifølge sikkerhetsselskaper.

Begge Symantec og Vupen Security har lagt ut varsler om feilen, som innebærer måten IE håndterer kaskende stilark, eller CSS. I følge innleggene vil det føre til overfall ved å bla gjennom et nettsted med innebygd angrepskode. Nettstedet kan være et spesifikt opprettet skadelig nettsted, eller en som ble kapret og hadde angrepskoden satt inn.

Ifølge Vupens innlegg påvirker feilen både IE 6 og 7 på en fullstendig patched XP SP3-datamaskin og kan tillate kjøring Enhver kommando på et sårbart system, for eksempel installering av skadelig programvare. Det er ikke noen rapporter om aktive angrep, men utnyttningskoden er offentlig tilgjengelig.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Symantecs innlegg sier at testene bekrefter publiserte bruksarbeid, men det det "viser tegn på dårlig pålitelighet," dvs. det virker ikke alltid. En annen e-post fra Symantec sier at Vista også påvirkes, men Microsoft har ennå ikke bekreftet sikkerhetsproblemet.

Nulledager som påvirker IE er vanligvis store trusler, så angriperne vil sannsynligvis begynne å skjule angrep som retter seg mot denne feilen kompromitterte nettsteder og sporing av e-post og online kommentarer med lenker til nettsteder som inneholder angrep. Ifølge Vupen vil deaktivering av Active Scripting i sikkerhetssonene for Internett og lokal intranett blokkere angrep mot denne feilen, men gjør det sannsynligvis blokkere nettsted funksjonalitet også. Nåværende rapporter angir ikke IE 8 som sårbar, men Symantec advarer om at "det er muligheter for at andre versjoner av IE og Windows også kan bli påvirket." Din beste innsats kan være å bruke en alternativ nettleser som Firefox til en oppdatering er tilgjengelig.

Oppdatering (1:55 pm)

: Microsoft har bekreftet at sikkerhetsproblemet påvirker IE 6 og IE 7, men ikke IE 8. Selskapet sier at det for øyeblikket ikke er kjent med eksisterende angrep mot feilen, og kan bestemme seg for å frigjøre en out-of-band patch når den er ferdig med undersøkelsen.