Microsoft bekreftet allerede i helgen at et alvorlig sikkerhetshull som finnes i Internet Explorer 8 og eldre, blir utnyttet i faktiske angrep. Sårbarheten skal ikke finnes i Internet Explorer 9 og 10, men disse kan ikke brukes sammen med Windows XP, som fortsatt ganske mange benytter.
Sårbarheten skyldes måten Internet Explorer oppnår tilgang til et objekt i minnet som har blitt slettet eller ikke skikkelig allokert. Dette forårsaker korrumpering av minnet, noe som kan utnyttes av en angriper til å fjernkjøre vilkårlig kode i samme kontekst som IE-brukeren. Sårbarheten kan utnyttes ved å lokke brukere av de berørte IE-utgavene til å besøke en spesielt utformet webside.
Mandag denne uken kunngjorde Microsoft at selskapet har satt sammen en foreløpig feilfiks basert på Microsoft Fix it. Denne løsningen fjerner ikke sårbarheten, men blokkerer kjente angrepsvektorer slik at det i alle fall blir vanskeligere å utnytte sårbarheten. Dette innebærer imidlertid at funksjonalitet i nettleseren deaktiveres, noe som vil påvirke brukernes opplevelse når nettleseren brukes.
Microsoft lover å komme med en skikkelig sikkerhetsfiks, men det er ikke klart om dette vil være en ekstraordinær utgivelse eller om den vil komme første kommende tirsdag eller først en måned senere.
Les også:
- [14.01.2013] Microsoft med nødfiks
- [07.01.2013] Midlertidig IE-fiks er ikke nok
- [04.01.2013] Stanser ikke IE-angrep
