Inntil Microsoft kommer med en sikkerhetsfiks til Internet Explorer 8 og eldre, bør man unngå å bruke disse utgavene av nettleseren.

Midlertidig IE-fiks er ikke nok

Sikkerhetsselskap kunne utnytte sårbarhet til tross for Microsoft-tiltak.

Microsoft forsøkt på å lage tilby et midlertidig sikkerhetstiltak mot sårbarheten i Internet Explorer 6 til 8 som ble oppdaget før jul, har feilet. IT-sikkerhetsselskapet Exodus Intelligence kunngjorde rett før helgen at selskapet har greid omgå tiltakene som innføres med Microsofts midlertidige Fix It-løsning.

Exodus Intelligence har ikke offentliggjort hvordan de har greid å omgå Fit It-løsningen, men metoden er delt med selskapets kunder, i tillegg til Microsoft. Det skal ikke ha tatt selskapet mer enn 24 timer å omgå Microsofts tiltak.

Den aktuelle sårbarheten finnes altså bare i de litt eldre utgavene av Internet Explorer, men brukere av Windows XP har ikke mulighet til å benytte de to nyeste utgavene av Microsoft nettleser. Flere oppdaterte nettlesere fra andre leverandører er derimot tilgjengelig for Windows XP.

Den aktuelle sårbarheten blir utnyttet i reelle angrep. Tilfellet som ble oppdaget før jul, skyldtes en kompromittering av nettstedet til Council on Foreign Relations, en amerikansk tenketank. Angrepet omtales som et vannhull-angrep. I slike tilfeller utnyttes et legitimt nettsted som angriperne tror vil bli besøkt av personer som tilhører den organisasjonen angriperne ønsker å trenge inn i.

Microsoft kommer med nye sikkerhetsoppdateringer til selskapet programvare i morgen kveld, men disse etter alt å dømme ikke sikkerhetsfiks som fjerner denne sårbarheten.

    Les også:

Til toppen