Microsoft tetter IE-hullet
Microsoft har visst om det kritiske hullet i IE i over ett år. Tirsdag tettes det.
Microsoft erkjente i går at selskapet har visst om det alvorlige sikkerhetshullet i Internet Explorer (IE) i over ett år. Feilen rammer brukere av IE6 og IE7 på Windows XP samt Windows Server 2003, og ble oppdaget allerede i begynnelsen av 2008.
LES OGSÅ: Microsoft bekrefter IE-angrep
På grunn av feilens karakter bekrefter nå Microsoft at hullet ble klassifisert som meget kritisk og en oppdatering kommer neste lappe-tirsdag. Totalt kommer det seks oppdateringer, hvorav to dreier seg om feilen i Explorer.
- Det er vanskelig å gjette hva de fire andre oppdateringene dreier seg om, men med tanke på den nåværende situasjonen spiller det ikke så stor rolle. Det viktigste nå er å få rettet opp feilen i IE, sier Andrew Storms i sikkerhetsselskapet Ncircle Network Security til Computerworlds egen internasjonale nyhetstjeneste.
Det er en feil i ActiveX som hackere nå utnytter aktivt. Brukere som besøker nettsider med sikkerhetshullet, blir smittet av angrepskode som lastes ned på maskinen. Antall smittede sider har nådd flere millioner, ifølge Scansafe.
LES OGSÅ: Tre millioner nettsider med IE-hull
Microsoft forsvarer tidsbruken med at feilen har vært ekstremt komplisert å fikse, og at den ikke ble utnyttet før i forrige uke.
- Vi har jobbet med feilen i lang tid, men ville gi kundene en fullstendig løsning på problemet når vi først skulle lansere en fiks. Den 5. juli oppdaget vi imidlertid at hullet ble utnyttet, og da satte vi inn flere ressurser på dette, sier sjefen for Microsoft's Security Response Center (MSRC), Mike Reavey, til Computerworlds internasjonale nyhetstjeneste.
Det er imidlertid ikke en fullgod patch som lanseres tirsdag heller. Sikkerhetsoppdateringen setter bare 45 såkalte "kill bits" i Windows-registeret, som slår av ActiveX-kontrollen. Når en fullgod patch er klar, kan ikke Microsoft uttale seg om.