Med webangrep Økende, Microsoft Fixes IE Bug

Sikkerhetseksperter sier at Web surfere bør umiddelbart installere en ny feilrettelse for Microsofts Internet Explorer-nettleser, utgitt onsdag morgen.

Feilen, som ble utilsiktet offentliggjort av kinesiske sikkerhetsforskere for over en uke siden, har blitt brukt i et voksende antall web -baserte angrep de siste dagene. Kriminelle har skrevet angrepskode som utnytter denne feilen på tusenvis av nettsteder så langt, ifølge Rick Howard, intelligensdirektør med Verisigns iDefense-gruppe. Verisign har nå sett seks varianter av angrepsprogramvaren, som alle forsøker å stjele kinesiske online spilllegitimasjon.

Ofte blir angrepet lansert gjennom en skjult iFrame-komponent som er surreptiøst satt på et nettsted. Verisign har selv oppdaget et slikt iFrame-angrep på et legitimt finansielt instituttets nettsted, sa Howard. "Volumet av iFrames som implementerer denne tingen, er veldig høy."

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Feilen ligger i måten Internet Explorers databindingsfunksjon fungerer på, sier Microsoft. Når nettleseren blir angrepet, vil den krasje, ødelegge datamaskinens minne og tillate den kriminelle å kjøre uautorisert programvare.

Siden Internet Explorer brukes av rundt 70 prosent av web surfere, vil denne angrepskoden trolig dukke opp i mye brukt ondsinnet programvare toolkits "veldig kort tid", sa Howard.

Andre sikkerhetsselskaper ble enige om Verisigns vurdering. "Microsofts nyeste IE ut-of-band patch utgivelse må installeres med en gang," sa Shavlik Technologies i en uttalelse. "Antallet infiserte nettsteder vokser i en alarmerende hastighet - selv folk som besøker legitime nettsteder blir rammet av denne utnyttelsen."

Feilen er så alvorlig at Microsoft tok det uvanlige skrittet for å utstede sin Sikkerhet fikse uker før planen. Vanligvis frigjør Microsoft sikkerhetsoppdateringer bare en gang i måneden for å forenkle systemadministratorers liv. Det neste settet av oppdateringer skyldes 13. januar.

Kriminelle kan også starte angrepene sine via e-post, ved å sende ofre skadelig kodet HTML-dokumenter, selv om denne type angrep ikke er rapportert.

Microsofts patch er for brukere av IE versjon 5 og opp.