Microsoft kom i går med en rekke sikkerhetsoppdateringer til selskapets programvare. De to viktigste fjerner begge alvorlige sårbarheter i Internet Explorer.
Den ene av oppdateringene fjerner en sårbarhet i IE8 (CVE-2013-1347) som har blitt utnyttet i angrep mot blant annet statlige, amerikanske forskere. Dette ble først kjent i begynnelsen av mai, noe som betyr at Microsoft har vært raskere enn ventet med å få ferdig en løsning.
Det samme kan ikke om en kritisk «Use After Free»-sårbarhet (CVE-2013-2551) som er blant de 11 sårbarhetene som fjernes med den andre sikkerhetsoppdateringen Microsoft har gitt ut til Internet Explorer denne uken. Den aktuelle nulldagssårbarheten ble utnyttet under Pwn2Own-konkurransen som ble arrangert i begynnelsen av mars.
Mens Google og Mozilla fjernet Pwn2Own-sårbarheter fra sine respektive nettlesere etter mindre enn et døgn, overrasket Microsoft mange ved å la sårbarheten forbli urørt også gjennom oppdateringsrunden i begynnelsen av april.
Nå har det ikke blitt meldt om faktiske angrep som utnytter denne sårbarheten. Men så lenge Pwn2Own-deltakerne kan finne en alvorlig sårbarhet, kan også ondsinnede hackere gjøre det samme.
De øvrige sikkerhetsoppdateringene Microsoft kom med i går, anses som viktige, men ikke kritiske. De fjerner sårbarheter i henholdsvis Office, Windows og Windows Essentials.
