Søg

Afslører sårbarhed i Internet Explorer - men Microsoft vil ikke lukke den

HP's sikkerhedsfolk har for flere måneder siden afsløret en sårbarhed i Internet Explorer, men Microsoft afviser at lukke den. Det får nu HP's folk til at tage nye metoder i brug.

23. juni 2015 kl. 13.51
Artikel top billede

HP demonstrerer, hvordan sårbarheden i IE kan udnyttes - se video nederst.

Kim Stensdal Kim Stensdal Teknologiredaktør

Microsoft har ikke tænkt sig at lukke en Internet Explorer-sårbarhed i Address Space Layout Randomization (ASLR)-teknologien, der skal sikre IE-brugere mod angreb.

Det skriver sikkerhedsforskere fra HP Security Research i et blogindlæg.

Det var dem, der oprindeligt opdagede sårbarheden, og det har også fået en dusør på 125.000 dollars for af Microsoft.

Alligevel ser det ikke ud til, at Microsoft har tænkt sig at udsende en patch:

"At frigive informationer på dette niveau er ikke noget, vi normalt gør og heller ikke noget, vi tager let på. Og for at gøre det helt klart, så gør vi det ikke med onde hensigter. Vi ville foretrække at først at frigive disse informationer, når sårbarheden er lappet," skriver HP.

"Men da Microsoft har bekræftet, at man ikke har tænkt sig at handle på baggrund af denne research, føler vi, at det er nødvendigt at give denne information til offentligheden," skriver selskabet, der normalt er en tæt Microsoft-allieret, videre.

Læs også: Sådan bliver den nye Edge-browser proppet med avanceret sikkerhedsteknologi

Sårbarheden gør det muligt for angribere at slippe forbi ASLR i IE. HP har demonstreret, hvordan det vil kunne lade sig gøre på Windows 7 og 8.1-maskiner med Internet Explorer.

Microsofts beslutning om ikke at tilbyde en opdatering, der kan lukke den sårbarhed, HP peger på, bunder formentlig i, at Microsoft har vurderet, at den konkrete sårbarhed udgør en begrænset trussel.

HP's folk er imidlerltid af en anden opfattelse, og det er årsagen til den noget usædvanlige udmelding:

"Vi er uenige i holdningen, og frigiver PoC ( proof-of-concept, red.)-information i troen på, at bekymrede brugere skal være så informerede som muligt for at kunne træffe de beslutninger, som de finder passende for deres egne installationer," lyder det på HP-bloggen.

IE på vej ud - Edge på vej ind

Microsoft annoncerede tidligere i år, at selskabet tager livet af Internet Explorer ved at udfase den aldrende browser.

I stedet satser Microsoft på den nye Edge-browser, hvor sikkerhed i øvrigt er et centralt omdrejningspunkt

Læs også: Internet Explorer er død - og det er nok bedst for alle parter

Du kan se HP's detaljer om sårbarheden i IE her.

I videoen herunder viser HP, hvordan IE-sårbarheden kan udnyttes af kriminelle:

Læs også:

Sådan bliver den nye Edge-browser proppet med avanceret sikkerhedsteknologi

Internet Explorer er død - og det er nok bedst for alle parter

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Tillid i en Zero-Trust verden

    Annonceindlæg fra Trustworks

    Tillid i en Zero-Trust verden

    Med voksende trusler, nye EU-krav og øget kompleksitet er cybersikkerhed nu en central ledelsesopgave på linje med strategi og økonomi.

    Netcompany A/S

    IT Consultant

    Københavnsområdet

    Netcompany A/S

    Network Engineer

    Københavnsområdet

    KMD A/S

    BI Enterprise Architect

    Midtjylland

    Lindhardt og Ringhof Forlag

    Data Engineer

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Rasmus Stage Sørensen som Operations Director. Han kommer fra en stilling som Partner & Director, Delivery hos Impact Commerce. Han er uddannet kandidat it i communication and organization på Aarhus University. Han har tidligere beskæftiget sig med med at drive leveranceorganisationer. Nyt job

    Rasmus Stage Sørensen

    Norriq Danmark A/S

    Adeno K/S har pr. 22. september 2025 ansat Steen Riis-Petersen som ServiceNow Expert. Han kommer fra en stilling som Senior Manager hos Devoteam A/S. Nyt job

    Steen Riis-Petersen

    Adeno K/S

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Huy Duc Nguyen som Developer ERP. Han skal især beskæftige sig med at bidrage til at udvikle, bygge og skræddersy IT-løsninger, der skaber vækst og succes i vores kunders forretninger. Han kommer fra en stilling som Software Developer hos Navtilus. Han er uddannet i bioteknologi på Aalborg University. Nyt job

    Huy Duc Nguyen

    Norriq Danmark A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Niels Bjørndal Nygaard som Digital Product Lead. Han skal især beskæftige sig med designe og implementere effektive IT-løsninger. Han har tidligere beskæftiget sig med at være digital consultant og project Manager hos Peytz & Co. Nyt job

    Niels Bjørndal Nygaard

    Norriq Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Microsoft omdøber Office: Her er det nye navn, du skal vænne dig til
    2 Arbejdsgivere vrager i stor stil ældre it-specialister: "Når man runder de 50, er det rigtig, rigtig svært"
    3 54-årige Flemming Kristensen havde 100 it-medarbejdere som chef i Norlys, men kommer sjældent til jobsamtale: "Jeg synes, det er bemærkelsesværdigt"
    4 Fire it-giganter skal kæmpe om en af de største kommunale kontrakter nogensinde
    5 Microsoft Danmark bryder bogføringsloven: "Vi arbejder aktivt på en løsning"
    6 Flere banker har afbrudt samarbejdet med Netcompany efter SDC-opkøb – nu lander selskabet tiltrængt aftale med norsk bank
    7 Så meget tjener du som ansat i den danske it-branche: Lønninger, eksport og omsætning sætter rekord
    8 52-årig it-specialist skjuler sin alder i cv’et for ikke at blive sorteret fra: "De ville have en, der ikke havde rundet 30"

    Se seneste uge