Det danske sikkerhedsfirma CSIS oplyser nu, at der er blevet opdaget en ny sårbarhed i Microsofts Internet Explorer. Problemet er, at Internet Explorer ikke håndterer com-objekter forsvarlig men i stedet behandler dem som ActiveX-komponenter. Dette betyder, at man kan udnytte sårbarheden ved at plante CLSID-koder i HTML-kode og derved beskadige en computer. CSIS betragter sårbarheden som kritisk.
CSIS frygter, at ondsindede personer vil benytte sårbarheden til spredning af skadeligkode, og det anbefales derfor at udvise forsigtighed.
»Det anbefales, at udvise forsigtighed med at følge links, som er inkluderet i e-mails, hvis indhold eller afsender man ikke kender eller har tillid til. Udvis sund skepsis,« skriver CSIS i en vejledning.
Ifølge CSIS vil flere antivirus-producenter inkludere koden, så den afvises eller forhindres, men dermed er der ingen garanti for, at den ikke dukker op i en anden variant.
Sårbarheden blev oprindelig opdaget af et andet sikkerhedsfirma kaldet SEC-Consult midt i juni og kontaktede Microsoft, der ifølge CSIS ikke kunne reproducere problemet. Efter godt to uger blev en såkaldt »proof of concept« frigivet, der kan bringe et stort antal Internet Explorer-brugere i fare. I mellemtiden undersøger Microsoft officielt problemet og arbejder på at frigive en sikkerhedsopdatering der lukker hullet.
Microsoft har udsendt en vejledning som følge af sårbarheden, hvor man foreslår »workarounds« til at omgå sårbarheden.
CSIS oplyser, at følgende versioner af Internet Explorer-browseren er berørt af sårbarheden:
Internet Explorer 5.01 Service Pack 3 på Microsoft Windows 2000 Service Pack 3
Internet Explorer 5.01 Service Pack 4 på Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 Service Pack 1 på Microsoft Windows 2000 Service Pack 3
Internet Explorer 6 Service Pack 1 på Microsoft Windows 2000 Service Pack 4
Internet Explorer 6 Service Pack 1 på Microsoft Windows XP Service Pack 1
Internet Explorer 6 til Microsoft Windows XP Service Pack 2
Internet Explorer 6 Service Pack 1 til Microsoft Windows XP 64-Bit SP1 (Itanium)
Internet Explorer 6 til Microsoft Windows Server 2003
Internet Explorer 6 til Microsoft Windows Server 2003 Service Pack 1
Internet Explorer 6 til Microsoft Windows Server 2003 for Itanium-based Systems
Internet Explorer 6 til Microsoft Windows Server 2003 with SP1 for Itanium
Internet Explorer 6 til Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
Internet Explorer 6 til Microsoft Windows Server 2003 x64 Edition
Internet Explorer 6 til Microsoft Windows XP Professional x64 Edition
Internet Explorer 5.5 Service Pack 2 på Microsoft Windows Millennium Edition
Internet Explorer 6 Service Pack 1 på Microsoft Windows 98
Internet Explorer 6 Service Pack 1 på Microsoft Windows 98 SE
Internet Explorer 6 Service Pack 1 på Microsoft Windows Millennium Edition
