En melding om en ny kritisk sårbarhet i nettleseren Internet Explorer ble lagt ut på nettstedet til Microsoft i går kveld norsk tid: Security Bulletin MS03-032: Cumulative Patch for Internet Explorer. De som har innstilt sin PC på automatisk varsling av Windows-oppgradering vil allerede ha fått varslet, med påfølgende mulighet til enkel nedlasting og installasjon. Fiksen er formet slik at den ikke bare tetter de to nye sårbarhetene. Den reparerer også hull som er meldt om tidligere, og som brukerne kan ha kommet i skade for å ha oversett.
De nye sårbarhetene gjelder versjonene 5.01, 5.5 og 6.0 av nettleseren. De kan gi uvedkommende en anledning til å kjøre henholdsvis vilkårlig kode eller en vilkårlig skript på offerets maskin.
Fiksen setter dessuten ActiveX-kontrollen BR549.DLL ute av spill. Denne kontrollen var bindeleddet til Windows Report Tool, et redskap innført i Windows 98 for å gi melde om brukerproblemer tilbake til et teknisk supportsenter eller en helpdesk. Report Tool ble siden trukket på grunn av en alvorlig sikkerhetsfeil. Microsoft fryktet at hackere kunne utnytte andre sårbarheter for å reinstallere verktøyet. Med ActiveX-kontrollen ute av spill skal dette ikke lenger være mulig.
