Microsoft advarer om et kritisk sikkerhedshul i firmaets browser, Internet Explorer, som kan udnyttes til at afvikle vilkårlig kode på de fleste Windows-systemer. Sårbarheden blev opdaget allerede i maj, men Microsoft har endnu ikke udsendt en sikkerheds-opdatering som lukker hullet.
Det første program som udnytter fejlen er netop dukket op på nettet. Der er tale om et såkaldt proof-of-concept, som kun starter lommeregneren på computeren, men det er uden videre muligt at plante virus eller foretage andre skadelige handlinger.
Fejlen ligger i browserens behandling af JavaScript-kode. Ifølge de oplysninger, som blev frigivet i maj, kunne sikkerhedshullet kun bruges til at få browseren til at lukke ned. Men nu har sikkerhedseksperter afsløret, at hullet også kan bruges til at skaffe sig adgang til selve systemet.
Microsoft kritiserer i en meddelelse, at de nye oplysninger er frigivet på nettet uden at firmaet har haft en chance for at reagere på forhånd. Softwarefirmaet arbejder på en patch, som enten bliver frigivet som en del af den faste månedlige opdatering eller udsendt separat.
Det danske sikkerhedsfirma CSIS anbefaler at deaktivere Active Scripting i browseren. Det sker ved at vælge Internet-indstillinger i menuen Funktioner, klikke på fanen Sikkerhed, klikke på Brugerdefineret niveau og markere Deaktiver ved Actice-Scripting under Script.
