digi.no skrev i går om en sårbarhet som finnes i enkelte utgaver av Internet Explorer. Microsoft har nå bekreftet at den rammer IE6 og IE7 på de systemer hvor disse versjonene er tilgjengelige, inkludert Windows Vista. Sårbarheten finnes ikke i IE5.01 og IE8.

Sårbarheten skyldes en ugyldig pekerreferanse i nettleseren. Det er mulig, gitt visse betingelser, for et CSS/Style-objekt å bli aksessert etter at objektet er slettet. I angrep kan IEs forsøk på å få tilgang til det frigjorte objektet føre til at kode levert av angriperen blir kjørt i stedet.

Et eksempel på angrepskode er for lengst blitt gjort tilgjengelig på BugTraq-listen, riktignok uten nærmere forklaring om hvordan den fungerer.

Microsoft skriver i en artikkel at selskapet ikke kjenner til at sårbarheten blir aktivt utnyttet av ondsinnede.

Selskapet har ikke avgjort om en sikkerhetsfiks til sårbarheten skal utgis så raskt som mulig eller gjennom en av de faste, månedlige utgivelsene av sikkerhetfikser fra selskapet. I tilfellet er neste gang dette vil skje tirsdag den 8. desember.