Kritisk hull i IE

Alternativ tekst mangler

Microsoft har ikke lansert en oppdatering for hullet ennå, som finnes i ActiveX-kontrollen WebViewFolderIcon. Om man kaller metoden setSlice() med spesielle parametre på et objekt av denne typen, vil man kunne kjøre vilkårlig kode under den brukeren som er logget inn.

Programvaregiganten ble først gjort oppmerksom på feilen da kode som utnytter hullet ble gjort tilgjengelig på nettet. Microsoft har derfor foreløpig ikke kommet med en oppdatering som fikser problemet, men har lagt ut en sikkerhetsrådgiver der det finnes noen måter å unngå hullet på. Her skriver de også at en oppdatering er planlagt å være klar den 10. oktober.

Det skal ikke være fare for å bli angrepet gjennom å bare lese e-post i Outlook eller Outlook Express, skriver Microsoft. All HTML-kode i disse e-postprogrammene kjører i en såkalt begrenset sone, slik at det er svært lite kode som får kjøre som standard. Hullet kan derimot utnyttes ved at du besøker en nettside i IE, noe som betyr at du må være oppmerksom på linker tilsendt via e-post eller IM.

(Kilder: BrowserFun, FrSIRT, Microsoft)

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen