Microsoft advarer nå om at en nulldagssårbarhet i Internet Explorer blir utnyttet i rettede angrep. Sårbarheten berører IE 6 og nyere, men ikke IE 10, som foreløpig bare er tilgjengelig i Windows 8.
Ifølge Microsoft åpner sårbarheten for fjernkjøring av vilkårlig kode. Sårbarheten finnes i måten IE aksesserer objekter som har blitt slettet eller ikke har blitt skikkelig tildelt. Sårbarheten kan da korrumpere minne på en slik måte at det tillater angriperen å kjøre kode i konteksten til den påloggede brukeren.
Sårbarheten kan utnyttes ved å lokke brukere til å åpne spesielt utformede websider som inneholder angrepskode. Ifølge Alienvault er angrepskode allerede blitt inkludert i verktøyet Metasploit.
Sikkerhetsbloggeren Eric Romang ser ut til å være den første som har beskrevet sårbarheten. Han nevner også at Adobe Flash benyttes for å omgå visse sikkerhetsmekanismer i Windows ved hjelp av en metode som kalles for «heap spray».
Det mistenkes at de som står bak de nye angrepene, er den samme gruppen som nylig utnyttet en alvorlig sårbarhet i Java 7.
Microsoft har foreløpig ingen reell sikkerhetsfiks å tilby. Selskapet anbefaler kundene om å installere verktøyet Enhanced Mitigation Experience Toolkit, som skal kunne hindre utnyttelse av visse sårbarheten. Men dette verktøyet krever en del manuell konfigurering og er trolig uegnet for de aller fleste.
Et enklere tiltak er å sette innstillingen for sikkerhetssonene i IE til «Høy». Men da deaktiveres alle støtte for skripting, noe som fører til at svært mange websider og -applikasjoner vil slutte å fungere som de skal.
Et tredje alternativ, som Microsoft ikke nevner, er å bruke en annen nettleser enn Internet Explorer.
– Det er andre nettlesere som folk kan bruke midlertidig inntil problemet blir løst. Eller så kan de gamble, sier Paul Ferguson, trusselforsker hos Trend Micro, til News 24.
– Hvorfor ta risikoen? Jeg ville ha holdt meg lang unna, sier Jeff Bardin, etterretningssjef hos sikkerhetsselskapet Treadstone 71, til samme avis.
I utgangspunktet skal ikke Microsoft komme med noen nye sikkerhetsoppdateringer før den 9. oktober. Men selskapet har flere ganger tidligere kommet med ekstraordinære sikkerhetsoppdateringer dersom det foregår omfattende angrep mot sårbarheter i selskapets produkter.
Les også:
- [13.12.2012] IE blottlegger muspekeren
- [24.09.2012] Sikkerhetsfikser både IE og Flash
- [19.09.2012] - Velg en annen nettleser
- [28.08.2012] Nå bør du deaktivere Java
- [19.06.2012] Har gitt ut ny angrepskode til IE
- [19.03.2012] – Angrepskode lekket via Microsoft
