Kritisk sårbarhet funnet i Internet Explorer

Nok en gang er det blitt funnet en sårbarhet i Microsoft nettleser som allerede kan utnyttes av ondsinnede.

Secunia melder om at det er blitt funnet en sårbarhet som kan utnyttes av ondsinnede til å kompromittere en brukers system.

Sårbarheten skyldes en feil i funksjonen "CPathCtl::KeyFrame()" i Multimedia Controls ActiveX-kontrollen (daxctle.ocx). Dette kan utnyttes til å korrumpere minnet gjennom å lokke brukere til å besøke HTML-dokumenter som fôrer ActiveX-kontrollens "KeyFrame()"-metode med spesielt utformede argumenter.

Vellykket utnyttelse åpner for kjøring av vilkårlig kode. Utnyttelse av metoden "Spline()" skal derimot få nettleseren til å krasje.

Ifølge Secunia er delvis fungerende eksempelkode på hvordan sårbarheten utnyttes, offentlig tilgjengelig. Denne skal fungere for delvis oppdaterte versjoner av Windows 2000. Men sikkerhetsselskapet oppgir at det på egenhånd har greit å konstruere en løsning som utnytter sårbarheten i fullt oppdaterte utgaver av Windows XP.

Inntil Microsoft utgir en sikkerhetsfiks, anbefales brukerne av Internet Explorer bare å godta ActiveX-kontroller på nettsteder brukerne har full tillit til.

Til toppen