Kritisk hull i IE
Microsoft har ikke lansert en oppdatering for hullet ennå, som finnes i ActiveX-kontrollen WebViewFolderIcon. Om man kaller metoden setSlice() med spesielle parametre på et objekt av denne typen, vil man kunne kjøre vilkårlig kode under den brukeren som er logget inn.
Programvaregiganten ble først gjort oppmerksom på feilen da kode som utnytter hullet ble gjort tilgjengelig på nettet. Microsoft har derfor foreløpig ikke kommet med en oppdatering som fikser problemet, men har lagt ut en sikkerhetsrådgiver der det finnes noen måter å unngå hullet på. Her skriver de også at en oppdatering er planlagt å være klar den 10. oktober.
Det skal ikke være fare for å bli angrepet gjennom å bare lese e-post i Outlook eller Outlook Express, skriver Microsoft. All HTML-kode i disse e-postprogrammene kjører i en såkalt begrenset sone, slik at det er svært lite kode som får kjøre som standard. Hullet kan derimot utnyttes ved at du besøker en nettside i IE, noe som betyr at du må være oppmerksom på linker tilsendt via e-post eller IM.
(Kilder: BrowserFun, FrSIRT, Microsoft)
