Microsoft forsøkt på å lage tilby et midlertidig sikkerhetstiltak mot sårbarheten i Internet Explorer 6 til 8 som ble oppdaget før jul, har feilet. IT-sikkerhetsselskapet Exodus Intelligence kunngjorde rett før helgen at selskapet har greid omgå tiltakene som innføres med Microsofts midlertidige Fix It-løsning.
Exodus Intelligence har ikke offentliggjort hvordan de har greid å omgå Fit It-løsningen, men metoden er delt med selskapets kunder, i tillegg til Microsoft. Det skal ikke ha tatt selskapet mer enn 24 timer å omgå Microsofts tiltak.
Den aktuelle sårbarheten finnes altså bare i de litt eldre utgavene av Internet Explorer, men brukere av Windows XP har ikke mulighet til å benytte de to nyeste utgavene av Microsoft nettleser. Flere oppdaterte nettlesere fra andre leverandører er derimot tilgjengelig for Windows XP.
Den aktuelle sårbarheten blir utnyttet i reelle angrep. Tilfellet som ble oppdaget før jul, skyldtes en kompromittering av nettstedet til Council on Foreign Relations, en amerikansk tenketank. Angrepet omtales som et vannhull-angrep. I slike tilfeller utnyttes et legitimt nettsted som angriperne tror vil bli besøkt av personer som tilhører den organisasjonen angriperne ønsker å trenge inn i.
Microsoft kommer med nye sikkerhetsoppdateringer til selskapet programvare i morgen kveld, men disse etter alt å dømme ikke sikkerhetsfiks som fjerner denne sårbarheten.
Les også:
- [14.01.2013] Microsoft med nødfiks
- [04.01.2013] Stanser ikke IE-angrep
- [02.01.2013] Internet Explorer under angrep
