Søg

Sådan lukker du farlig sårbarhed i Internet Explorer

Et yderst kritisk sikkerhedshul er blevet opdaget i Internet Explorer. Læs her, hvordan du selv lukker hullet, inden producenten Microsoft er på banen med en solid lappeløsning.

18. september 2012 kl. 11.16
Artikel top billede
Mads Elkær Mads Elkær Journalist

Læs også:
0-dags-sårbarhed fundet i Flash og Internet Explorer

Internet Explorer taber terræn til rival-browser

I sidste uge blev en 0-dagssårbarhed udnyttet i Microsoft-browseren Internet Explorer, og nu arbejder softwareselskabet på højtryk på at få lappet det kritiske hul.

Inden lappegrejet er på gaden, kan du dog selv gøre dit for at lukke hullet.

"Folk kan selvfølgelig holde op med at bruge Internet Explorer eller bare leve med risikoen. Men de kan også slå active script fra," forklarer sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group.

Han fortæller, at en deaktivering af active script under browserens internetindstillinger har den bieffekt, at visse elementer og funktioner på en hjemmeside som eksempelvis Facebook-'like' og Flash-videoer kan have problemer med at køre. 

Netop Flash var også først under mistanke for at indeholde et kritisk 0-dags-hul, men Peter Kruse frifinder fuldstændigt multimedieplatformen fra Adobe. 

"Vi troede først, at en komponent i Flash også var ramt. Ved nærstudier har det dog vist sig at være en komponent i Internet Explorer, som Microsoft faktisk fiksede i midten 2011, men åbenbart bare ikke godt nok," forklarer sikkerhedseksperten.

Kan ramme dig på dit favoritsite

Sårbarheden i Internet Explorer kan blandt bruges til såkaldte drive-by-angreb, hvor en intetanende bruger går ind på en hjemmeside, som man normalt stoler på.

Hvis denne hjemmeside er blevet hacket - eksempelvis ved, at en hacker har købt adgang til ftp-brugernavn og -password via internettets allermørkeste fora for kriminelle - kan angriberen skyde skadelig kode ud på den besøgendes computer.

Når denne kode lokalt på din computer er aktiveret kan den potentielt fjernstyre din computer, stjæle dine filer og forretningshemmeligheder.

Peter Kruse forklarer, at flere steder kan it-kriminelle ligefrem købe stakkevis af ftp-brugernavne og -passwords til hjemmesider, hvor der så kan lægges skadelig kode ind, som de kan bruge via sikkerhedshullet i Internet Explorer version 7, 8 og 9.

Faktisk kan man også købe sig adgang til en service på hackerhjemmesider, hvor der automatisk bliver uploadet skadelige kode til alle de ftp-brugernavne og -passwords, som man har købt.

"Jo flere brugernavne og password en it-kriminel kommer i besiddelse af, des mere bliver den skadelige kode spredt, og derfor kan dette sikkerhedshul i Internet Explorer potentielt ramme mange og meget hårdt," fortæller han.

Nøgen kvinde afpresset

Sikkerhedseksperten fra CSIS har kendskab til en dansk sag med et drive-by-angreb, hvor en kvinde loggede på Facebook for at chatte.

Her er Micrsosofts hjælp til at lappe hullet

Via et skadeligt link fra sin chatkammerat havde hun intetanende givet vedkommende adgang til hendes computer og dermed også webcam, som blev tændt under chatten, der efterhånden fik en mere og mere lummer karakter.

Kvinden blev blandt andet under chatten overtalt til at smide tøjet, mens webcam'et filmede det hele.

Siden blev kvinden afpresset til at betale, hvis den først lumre og siden lumpne chatkammerat ikke skulle afsløre nøgenbillederne for kvindens mand.

"Vi ser flere og flere eksempler på afpresning, når der er skadelig kode lokalt på folks computere," forklarer Peter Kruse og fortæller også om flere eksempler på, at virksomheder har fået stjålet vitale informationer op til aflæggelsen af deres årsregnskab.

Disse tal er ifølge Peter Kruse sandsynligvis blevet brugt til "insider-handel" på børsen eller til at presse penge ud af selskaberne.

Fikser problemerne

Han fortæller, at selvom sikkerhedsfirmaerne allerede er i gang med at bygge signaturer til at detektere og advare om det aktuelle hul i Internet Explorer, så er det producenten, der i sidste ende skal fikse problemet.

Det vil sige, at pilen peger på Microsoft, der normalt kommer sine sikkerhedsopdateringer 'patch-Tuesday', der er den anden tirsdag i måneden.

Da der er tre uger til, at Microsoft sender sine sikkerhedsopdateringer ud til sine kunder, forventer Peter Kruse, at der bliver udsendt helt ekstraordinært lappegrej til Internet Explorer-brugerne.

"Alt andet ville være utroværdigt," lyder skudsmålet fra CSIS-sikkerhedseksperten.

Hos Microsoft forsøger selskabet at dæmpe gemytterne over det nyopdagede og dermed potentielt meget farlige sikkerhedshul i en af verdens mest brugte browsere, som ifølge FDIM bliver brugt af over halvdelen af danskerne.

"Vi er opmærksomme på, at målrettede angreb muligvis kan ramme nogle versioner af Internet Explorer," forklarer Yunsun Wee, der er chef for Microsoft Trustworthy Computing.

Han forklarer, at softwareselskabet har skrevet mere om problematikken på sin sikkerhedsblog og understreger samtidig, at Microsoft seneste browser, Internet Explorer 10, ikke er ramt af 0-dagssårbarheden. 

"Vi tager skridt til yderligere handlinger, når det er passende. Mens angrebene stadig er meget begrænsede, så vil vi anbefale, at vores kunder implementerer Microsofts Enhanced Mitigation Experience Toolkit (EMET) 3.0, som giver effektiv beskyttelse uden at skade browser-oplevelsen," lyder det i en officiel udmelding fra Microsoft.

Læs også:
0-dags-sårbarhed fundet i Flash og Internet Explorer

Internet Explorer taber terræn til rival-browser

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    SAP Excellence Day 2026

    It-løsninger | Nordhavn

    SAP Excellence Day 2026

    Få konkrete erfaringer med S/4HANA, automatisering og AI i praksis. Hør hvordan danske virksomheder realiserer gevinster og etablerer effektive SAP-løsninger. Vælg fysisk deltagelse hos SAP eller deltag digitalt.

    Datacenterstrategi 2026

    Infrastruktur | København

    Datacenterstrategi 2026

    Denne konference bidrager med viden om, hvordan du balancerer cloud, on-premise og hybrid infrastruktur med fokus på kontrol, compliance og forretning.

    Identity Festival 2026 - Aarhus

    Sikkerhed | Aarhus C

    Identity Festival 2026 - Aarhus

    Er du klar til en dag, der udfordrer din forståelse af, hvad Identity & Access Management kan gøre for din organisation? En dag fyldt med indsigt, inspiration og løsninger, der sætter kursen for, hvordan vi arbejder med IAM i de kommende år.

    Se alle vores events inden for it

    KMD A/S

    Senior Product Manager

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Sektionschef til Datagovernance – Dataplatform og Digitalt Fundament

    Københavnsområdet

    Qpurpose ApS

    Hiring talented and senior software engineers

    Fyn

    Styrelsen for Danmarks Fængsler

    Nye medarbejdere søges til systemforvaltning og forretningsudvikling i Styrelsen for Danmarks Fængsler

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. februar 2026 ansat Kirsten Skriver som Warehouse Team Lead. Hun skal især beskæftige sig med udviklingen af det globale lagersetup hos Renewtech. Hun kommer fra en stilling som Lagerchef hos BORG Automotive Reman A/S. Nyt job

    Kirsten Skriver

    Renewtech ApS

    Idura har pr. 1. januar 2026 ansat Lars Mørch, 54 år, som VP of Sales. Han skal især beskæftige sig med Iduras salgsorganisation, implementere en ny go-to-market-model og sikre udviklingen af virksomhedens identitetsplatform. Han kommer fra en stilling som Regional Vice President hos Avallone. Han er uddannet på CBS og har en BA i Organization & Innovation. Han har tidligere beskæftiget sig med internationalt SaaS-salg og forretningsudvikling fra både scale-ups og globale teknologivirksomheder. Nyt job

    Lars Mørch

    Idura

    Mark Michaelsen, teknisk systemejer og projektleder hos Aarhus Kommune, har pr. 26. januar 2026 fuldført uddannelsen Master i it, linjen i organisation på Aarhus Universitet via It-vest-samarbejdet. Færdiggjort uddannelse

    Mark Michaelsen

    Aarhus Kommune

    Idura har pr. 1. januar 2026 ansat Martin Ingolf Broberg, 43 år, som webmaster. Han skal især beskæftige sig med at få idura.eu til at spille på alle digitale tangenter og sikre, at siden genererer nye leads. Han kommer fra en stilling som team lead hos Danmarks Radio. Han har tidligere beskæftiget sig med blandt andet at stifte og lede et analyseteam i DR med fokus på web og lyd. Nyt job

    Martin Ingolf Broberg

    Idura

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Test: Du får rigtigt meget for pengene, hvis du tør tage chancen med denne lille danske headset-producent
    2 Dansk top-profil: Den danske stat vil inden længe blive nødt til at overtage ejerskabet af vigtige it-teknologier
    3 Har udviklet helt ny teknik: Data lagret i almindeligt glas kan holde i 10.000 år - kan løse stort og dyrt problem
    4 Nørgaard: Derfor vil der altid mangle mødelokaler i dit liv
    5 Microsoft Danmark indsætter ny direktør: To direktører forlader selskabet
    6 Nye stramme sikkerhedsregler for statens ansatte: Skal nu destruere rejse-pc’er efter ophold i udlandet
    7 Fejl i ny Windows-opdatering: Systemer på stribe sætter ud
    8 Svensk militærofficer fik stjålet arbejdscomputer til Nato-møde: Tyven anklages for russisk spionage

    Se seneste uge