Ny sårbarhet stopper oppdatert sikkerhetsfiks

Microsoft har utsatt utgivelsen av en oppdatert sikkerhetsfiks til Internet Explorer på grunn av en ny sårbarhet.

Microsoft hadde opprinnelig planer om å utgi en ny versjon av sikkerhetsoppdateringen MS06-042 i går, men utgivelsen ble ifølge Stephen Toulouse, tilknyttet Microsoft Security Response Center, stoppet i ellevte time. Årsaken ser ut til å være installasjonsproblemer.

Den nye versjonen av sikkerhetsoppdateringen skulle rette en feil som kan føre til at Internet Explorer krasjer hvis brukeren benytter HTTP 1.1 i kombinasjon med IE 6.0 SP1.

Rapporter offentliggjort fra uavhengige sikkerhetseksperter har i tillegg hevdet at årsaken til krasjen er en overflytsfeil i en buffer, noe Microsoft nå har fått bekreftet. Denne kan i verste fall utnyttes av ondsinnede til å ta over den sårbare maskinen. Sårbarheten skal ha blitt innført gjennom den opprinnelige sikkerhetsfiksen.

Feilen skal ligge i måten IE håndterer lange URL-er.

Det er kun IE 6.0 SP1 som er påvirket av sårbarheten. Brukere av Windows Server 2003 eller Windows XP med SP2 er ikke utsatt.

Det har vært Microsofts ønske at detaljene om sårbarheten ikke skulle bli offentliggjort før en fiks er på plass, men ikke alle har fulgt selskapets ønsker.

Det er uklart når den nye versjonen av sikkerhetsfiksen vil komme, bortsett fra at den vil bli sluppet så snart den er klar.

Dette er ikke første gang Microsoft har måttet gi ut en sikkerhetsoppdatering til Internet Explorer på nytt på grunn av ulike typer problemer. Men ifølge Microsoft skal dette være det første tilfellet siden MS04-004, som ble gitt ut for 2,5 år siden.

Til toppen