Microsofts nyeste sikkerhetsfiks utilstrekkelig

Sikkerhetsfiksen til Internet Explorer som Microsoft publiserte i begynnelsen av juli, forhindrer ikke angrep.

Den nederlandske IT-studenten Jelmer Kuperus, som i begynnelsen av juni meldte om to sårbarheter i Internet Explorer som fortsatt ikke er blitt tettet, forteller til News.com at sikkerhetsfiksen Microsoft publiserte fredag i forrige uke, ikke var tilstrekkelig for å løse problemet.

Sammen med to andre sikkerhetshull, gjorde denne sårbarheten det mulig å trenge gjennom sikkerhetsnettet til en PC via nettleseren. Ved å hindre ActiveX-komponenten ADODB.screen i å skrive til PC-ens harddisk, noe som ble gjort gjennom fredagens ekstraordinære oppdatering.

Dette viser seg ikke å ha vært tilstrekkelig, siden feilen Kuperus nå har funnet, som befinner seg i ActiveX-komponenten Application.Shell, kan brukes med samme formål.

- De valgte å gjøre noe bare med én side av problemet. De burde ha sett dette komme, sier Kuperus.

- Det meste av ondsinnet programvare vi ser blir utviklet i dag, er basert på flere sårbarheter, hvor hver av dem omgår en spesifikk sikkerhetsegenskap i Internet Explorer. Hver for seg er mange av disse feilene ofte harmløse, men kombinert kan de utgjøre en alvorlig risiko, forklarer Kuperus.

Ifølge News.com har Microsoft bekreftet den siste feilen og forteller at en serie med sikkerhetsoppdateringer til Internet Explorer vil bli publisert i løpet av de neste ukene. Den første runden kommer trolig tirsdag den 13. juli, siden Microsoft har den andre tirsdagen i hver måned som fast utgivelsesdag for oppdateringer.

Kuperus har skrevet det siste sikkerhetshullet i mer detalj i dette innlegget i Full Disclosure-listen allerede forrige helg.

Til toppen