Kritisk hull i IE

Alternativ tekst mangler

Microsoft har ikke lansert en oppdatering for hullet ennå, som finnes i ActiveX-kontrollen WebViewFolderIcon. Om man kaller metoden setSlice() med spesielle parametre på et objekt av denne typen, vil man kunne kjøre vilkårlig kode under den brukeren som er logget inn.

Programvaregiganten ble først gjort oppmerksom på feilen da kode som utnytter hullet ble gjort tilgjengelig på nettet. Microsoft har derfor foreløpig ikke kommet med en oppdatering som fikser problemet, men har lagt ut en sikkerhetsrådgiver der det finnes noen måter å unngå hullet på. Her skriver de også at en oppdatering er planlagt å være klar den 10. oktober.

Det skal ikke være fare for å bli angrepet gjennom å bare lese e-post i Outlook eller Outlook Express, skriver Microsoft. All HTML-kode i disse e-postprogrammene kjører i en såkalt begrenset sone, slik at det er svært lite kode som får kjøre som standard. Hullet kan derimot utnyttes ved at du besøker en nettside i IE, noe som betyr at du må være oppmerksom på linker tilsendt via e-post eller IM.

(Kilder: BrowserFun, FrSIRT, Microsoft)

Kommentarer (12)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen