Webapplikasjoner

En sikkerhetsproblem i Microsoft-programvare som ennå ikke er oppdatert, utgjør en mer alvorlig trussel mot brukere av Internet Explorer 6 enn de som er i den neste versjonen av nettleseren. Sikkerhetsleverandøren Symantec har advart.

Feilen i Microsofts Access-databaseprogram ble opplyst akkurat som Microsoft utstedte sine oppdateringer for måneden 8. juli. Problemet er innenfor ActiveX-kontrollen for stillbildevisning, som gjør det mulig for noen å se en tilgangsrapport uten å starte programvaren.

Angrepere utnytter aktivt sikkerhetsproblemet ved å enten opprette nettsider eller hacking eksisterende nettsider for å være vert for angrepet. Hackerne lokker folk til sidene via nettsøppel eller en øyeblikkelig melding.

Internet Explorer 7 vil spørre brukere før du laster ned en bestemt ActiveX-kontroll for første gang. Men Internet Explorer 6 vil automatisk laste ned kontrollen, siden den er digitalt signert av Microsoft, sier Symantec i sin rådgivende versjon.

Når ActiveX-kontrollen er lastet ned, kan feilen tillate at angriperen overtar en PC.

Symantec anbefaler administratorer for å angi tre "kill bits" for ActiveX-kontrollen, en Microsoft-løsning for å hindre at en ActiveX-kontroll kjører i Internet Explorer.

Microsoft har hittil ikke sagt når den planlegger å frigjøre en løsning. Selskapets neste patching runde er planlagt til 12. august.

Symantec sa i forrige måned at forbrytelsesforfattere hadde tatt med en utnyttelse for Snapshot viewer-sårbarheten i Neosploit, et verktøy som lar hackere kjøre en håndfull utnytter på en PC for å se om Det har uoppdaget sårbarhet. Men i forrige uke viste det seg at de cyberkriminelle som opprettet Neosploit, hadde sluttet å selge den, kanskje fordi prisen var - opp til US $ 3000 - var for høy, og etterspørselen var avtagende.