Microsoft røper ny IE-sårbarhet

Knapt etter at forrige sikkerhetshull er lappet, dukker det opp et nytt sikkerhetshull i Microsofts nettleser Internet Explorer (IE).

Det er Microsoft selv som går ut og advarer mot hullet.

- Vår etterforskning så langt viser at om brukere bruker en versjon av IE som ikke kjører i beskyttelsesmodus (Protectec Mode) kan en angriper få tilgang til filer om det konkrete filnavnet og den konkrete filplasseringen er kjent, skriver Microsoft i en sikkerhetsbulleteng.

Beskyttelsesmodus gir beskyttelse

Feilen, som er forårsaket av feil håndtering av lokale filer i nettleseren, angår følgende nettlesere under følgende operativsystem: På Windows 2000 med IE5.01 eller IE6 og på Windows XP og Windows Server 2003 med IE6, IE7 eller IE8.

Les også. Norsis advarer mot Internet Explorer

- Beskyttelsesmodus forhindrer utnyttelse av denne sårbarheten og er slått på som standardinnstilling for IE på Windows Vista, Windows Server 2008 og Windows 7, kan man lese i Microsofts melding.

Vurderer nødfiks

Brukere kan også aktivisere Network Protockol Lockdown, også kjent som litt stivere IE-sikkerhetsinnstillinger, om de ikke kan eller vil sikre seg mot feilen via beskyttelsesmodus. Modusen finnes ikke på Windows XP og eldre operativsystemer.

Microsoft har laget et program som automatiserer denne prosessen, som man kan laste ned via sikkerhetsbulletegnen.

Microsoft har foreløpig ikke sett noen angrep som utnytter feilen. De må nå avgjøre hvor vidt feilens skal rettes på den faste, månedlige lappetirsdagen eller om den er såpass alvorlig at den skal rettes utenfor den faste syklusen. Dette vil være en løpende vurdering som avhenger av hvor mange skurker som tar i bruk angrepsmetoden.

Les også: Chrome haler innpå IE og Firefox