Enda en CSS-sårbarhet funnet i IE

Angrepskoden er tilgjengelig for alle.

Microsoft kommer i kveld med sikkerhetsoppdateringer til blant annet Internet Explorer, hvor blant annet en alvorlig CSS-relatert (Cascading Style Sheet) sårbarhet vil bli fjernet fra nettleseren.

Derimot er det lite som tyder på at selskapet vil rekke å fjerne en annen CSS-relatert sårbarhet som har kommet i søkelyset de siste dagene. Sårbarheten skyldes ifølge US-CERT en «use-after-free»-feil i bibliotekfilen mshtml.dll under prosessering av websider som refererer til en CSS-fil som inneholder ulike @import-regler. Sårbarheten skal være bekreftet i IE6, 7 og 8.

Det er mer uklart hvilke versjoner av Windows som er berørt. Secunia skriver at sårbarheten bare er bekreftet i Windows XP SP3, men VUPEN har bekreftet at sårbarheten også finnes i fullt oppdaterte utgaver av Windows Vista og Windows 7.

Sårbarheten skal kunne åpne for fjernkjøring av vilkårlig kode.

Selv om sårbarheten først nå har begynt å få bred omtale, er det allerede mer enn to uker siden at et konseptbevis med eksempel på angrepskode ble offentliggjort på det kinesiskspråklige nettstedet WooYun.

Det samme konseptbeviset ble publisert i Full Disclosure-listen den 8. desember.

En Microsoft-representant sier til Eweek at selskapet har satt i gang granskning av denne sårbarheten. Granskningen vil gi selskapet svar på hvordan det skal forholde seg til sårbarheten. Det er sjelden at Microsoft gir ut ekstraordinære sikkerhetsfikser dersom ikke sårbarheter blir utnyttet i stor skala.

Internet Explorer er på ingen måte den eneste nettleseren som det jevnlig utgis «lappesaker» til. Det har kommet sikkerhetsoppdateringer til både Firefox og Chrome den siste uken. I begge tilfeller er det en rekke sårbarheter som fjernes, hvorav flere kan åpne for kjøring av vilkårlig kode.

Både Mozilla og Google har fjernet flere nettlesersårbarheter i år enn Microsoft. Men knapt noen av disse sårbarhetene har blitt offentliggjort før en sikkerhetsoppdatering har foreligget. Stort sett er det nettleserleverandøren selv som kommer med opplysningene.

Det er derimot ganske vanlig at sårbarheter i Internet Explorer blir offentlig kjent flere uker før Microsoft kommer med en sikkerhetsfiks. Det gjelder på ingen måte alle sårbarhetene IE, men tyder på at mange som oppdager alvorlige sårbarheter i Internet Explorer, ikke har interesse i å samarbeide med Microsoft om håndteringen av sårbarheten.

    Les også:

Til toppen