Sårbarheten i Internet Explorer som skyldes feil i håndteringen av VML-dokumenter, utnyttes for fullt av flere nettsteder, bare 24 timer etter at det første tilfellet ble oppdaget av amerikanske Sunbelt tidligere denne uken. Nettstedene sprer botnet-byggende trojanere og installerer spionvare som viser annonser til uforsiktige Windows-brukere.
Les også:
- [27.09.2006] Microsoft slapp likevel tidlig sikkerhetsfiks
- [25.09.2006] Vurderer tidlig utgivelse av VML-fiks for IE
- [19.09.2006] Internet Explorer sårbar for vektorgrafikk
Svært mange ondsinnede nettsteder - trolig nærmere 10.000 - benytter et russisk verktøy som gjør det enkelt lage spionvare som utnytter sårbarheter. Det hele gjøres ved hjelp av et webgrensesnitt. Den nyeste versjonen av WebAttacker kan utnytte den nye VML-sårbarheten i Internet Explorer, noe som betyr at de ondsinnede nettstedene som benytter WebAttacker, vil få spredd spionvaren til langt flere enn tidligere ved bare å laste ned en oppgradering av WebAttacker.
Ifølge eWeek, som siterer en undersøkelse gjort av Exploit Prevention Labs, var 32 prosent av angrepene utført i juni generert av WebAttacker.
Ifølge eWeek selges WebAttacker for mellom 20 og 300 dollar og kan for tiden levere spionvare som utnytter minst fire sårbarheter, blant annet i MDAC (Microsoft Data Access Components), Mozilla Firefox og Suns virtuelle Java-maskin hos brukere som ikke har installert de nyeste sikkerhetsoppdateringene.
Mange av selskapene som benytter WebAttacker er russiske. Det antas at de fleste av disse selskapene gir løfter om ikke å angripe russiske selskaper eller andre brukere. Dette for å unngå nærmere granskning fra russiske myndigheter.
- Det kan debatteres hvor mye regjeringen der borte gjør i forsøker på å stoppe disse karene. Så lenge de holder seg unna russiske selskaper, er vil det sannsynligvis ikke være mye motivasjon for å gjøre det, sier Roger Thompson, teknologisjef i Exploit Prevention Labs, til eWeek.
Microsoft ikke gi ut noen sikkerhetsfiks til Internet Explorer nå. I stedet vil selskapet vente å se om dette virkelig blir et stort problem. Dette skriver Microsoft i dets sikkerhetsblogg. Selskapet har tidligere gitt ut sikkerhetsfikser utenom de månedligere oppdateringsrundene, men bare når sårbarheter er blitt massivt utnyttet.
Det er foreløpig uklart hvor omfattende utnyttelsen av VML-sårbarheten vil bli - sikkerhetseksperter mener at man først vil få klarhet i det over helgen. Inntil da bør brukere av Internet Explorer unngå å gå inn på lite tillitsvekkende nettsteder, i dette tilfellet gjerne nettsteder som lokker med pornografisk innhold.