Komponenter

Nytt webangrep utnytter upakket IE-feil

World War One (ALL PARTS)

World War One (ALL PARTS)
Anonim

Som Microsoft leser sin Siste sett med sikkerhetsoppdateringer, har nettbaserte angripere begynt å utnytte en ny feil i selskapets Internet Explorer (IE) nettleser.

Feilen ble offentliggjort på kinesisk diskusjonsfora for to dager siden av en sikkerhetsgruppe kalt Knowlesec-teamet. I tester virket det på IE 7 som kjører på Windows XP, Service Pack 2.

Det har allerede blitt brukt av angripere som har hostet det på hackte nettsteder for å angripe intetanende besøkende, sa Wayne Huang, konsernsjef for sikkerhetsleverandøren Armorize Technologies. Nå som feilen har blitt offentliggjort, forventer han at angrep basert på feilen blir mye mer utbredt.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Koden utnytter en feil i måten IE håndterer XML (Extensible Markup Language) og jobber i nettleseren om "en til tre ganger", sa Huang i et direktemeldingsintervju. For angrepet på jobb må et offer først besøke et nettsted som serverer den ondsinnede JavaScript-koden som utnytter feilen.

En kinesisk språkoppgave om feilen finnes online.

I angrep er koden dropper et ondsinnet program på offerets PC, som deretter går for å laste ned skadelig programvare fra forskjellige steder.

Microsoft kunne ikke nås umiddelbart for kommentar, men selskapet forventes å løslate seks kritiske oppdateringer tirsdag, inkludert en løsning for IE.