Samtlige nyere utgave av Internet Explorer, det vil si versjon 6 og nyere, er berørt av sårbarheten som skal ha blitt utnyttet av angivelig kinesiske hackere til å få tilgang til blant annet Gmail-kontoer til kinesiske menneskerettsaktivister via Google og en rekke andre større selskaper. Dette skriver Microsoft i et sikkerhetsoppslag.
Sårbarheten skyldes en ugyldig pekerreferanse inne i Internet Explorer. Det er under visse betingelser for den ugyldige pekeren å aksessere denne etter at et objekt er slettet. I spesielt utformede angrep, hvor det gjøres forsøk på å få tilgang til det frigjorte objektet, er det mulig å få Internet Explorer til å kjøre vilkårlig kode. Det er altså ikke bare tilgang til Gmail-kontoer som potensielt kan oppnås.
Ifølge Microsoft har selskapet bare fått meldinger om begrensede angrep rettet mot denne sårbarheten i IE6, men selskapet vil overvåke trusselmiljøet og gi beskjed dersom situasjonen endrer seg. Selskapet har ennå ikke avgjort om en sikkerhetsfiks skal gis ut i henhold til vanlige rutiner eller om selskapet skal komme med en ekstraordinær utgivelse så raskt som mulig.
Microsoft kommer i dette blogginnlegget med visse tips om hvordan man kan beskytte seg mot denne typen angrep, men det mest effektive er likevel å unngå å besøke upålitelig nettsteder eller å klikke på ukjente lenker.
Les også:
- [14.12.2010] Enda en CSS-sårbarhet funnet i IE
- [25.01.2010] IE-feilfiks ble utsatt i flere måneder
- [21.01.2010] - Kunne stoppet angrepet mot Google
- [20.01.2010] Microsoft vil lappe IE så raskt som mulig
- [15.01.2010] USA krever forklaring om Google-angrep
- [15.01.2010] Angrep Google via ukjent IE-hull
- [14.01.2010] Kina gir ikke etter overfor Google
