Alvorlig MSIE-sikkerhedsbrist

(03/01-2013) – I fredags blev hjemmesiden for det amerikanske “Council on Foreign Relations” (www.cfr.org) kompromiteret af kinesiske hackere, som udnyttede et sikkerhedshul.

Hackerne indkluderede JavaScript kode på CFRs hjemmeside, som videresendte koden til ældre MSIE browsere. Koden startede så et såkaldt “heap spray attack” ved hjælp af Adobes Flash Player. Et heap spray attack er en teknik, som benyttes for at lette udførelse af kodesekvens på modtagerens computer.

Kort tid efter viste det sig, at MSIE version 6, 7 og 8 er sårbare over for dette sikkerhedshul: En pirat kan udføre fremmed kode på din computer ved at benytte sig af det.

Angrebet vil gå ud på at lave en speciel hjemmeside, der udnytter dette hul og overbevise brugeren om at besøge pågældende hjemmeside. Det er forholdsvis enkelt ved at benytte sig af social engineering og tilbyde gratis (piraterede) programmer, gratis porno, gratis musik eller film, m.m.

Microsoft har stadig intet modtræk til dette angreb. De arbejder på en patch. Dog vil Microsoft sende et software beskyttelsesprogram, som kan beskytte dit system, indtil patchen er færdig. Det vil kunne downloades fra deres Fix-it-center.

MSIE 9 og 10 er ikke berørte af dette sikkerhedshul.

Løsningen vil være at opdatere din browser til MSIE 9 eller 10, hvis dit system kan klare det, eller skifte til Mozilla Firefox eller Google Chrome. (Chill)