Søg

Microsoft lukker kritisk ormehul i Explorer

En ekstraordinær opdatering fra Microsoft lukker et kritisk sikkerhedshul, som i november er blevet udnyttet af flere ondsindede programmer. Ormen Bofra blev i sidste uge spredt via hackede bannerannoncer takket være sikkerhedshullet.

02. december 2004 kl. 10.21
Jesper Stein Sandal Jesper Stein Sandal

Microsoft har udsendt en ekstraordinær rettelse til Internet Explorer, som lukker et sikkerhedshul i browseren, der blandt andet er blevet udnyttet af ormene Mydoom og Bofra.

Fejlrettelsen kommer en uge forud for Microsofts planlagte sikkerhedsopdatering for november, og det skyldes netop, at sikkerhedshullet bliver misbrugt.

- Vi har frigivet den nu som svar reaktion på de angreb, vi har set mod vores kunder, siger Stephen Toulouse, sikkerhedschef for Microsoft i USA, til IDG News Service.

Både Microsoft og flere sikkerhedsfirmaer betegner sikkerhedsopdateringen som kritisk. Opdateringen gælder flere versioner af Windows, om end Windows XP-brugere i forvejen skulle være beskyttet, hvis de har installeret Service Pack 2.

Buffer-overløb

Sårbarheden er et buffer-overløb i Internet Explorers håndtering af visse HTML-elementer, helt præcist Frame og Iframe.

Netop Iframe har tidligere været med til at give sårbarheder, men ifølge teknisk direktør Thomas Kristensen fra det danske sikkerhedsfirma Secunia har det drejet sig om omgåelse af zone-begrænsningerne i Explorer og ikke buffer-overløb.

Han hilser det velkomment, at Microsoft har lukket sikkerhedshullet med en ekstraordinær opdatering, men han har stadig flere rettelser til Internet Explorer-sårbarheder på sin ønskeliste.

- Jeg er da meget ked af, at de ikke har lukket den drag-and-drop-sårbarhed, der findes. Jeg har ikke set konkrete eksempler på, at det bliver misbrugt, men der findes exploits, og det er oplagt at udnytte for de sider, der spreder spyware, siger Thomas Kristensen.

Spredt via bannerreklamer

Det sikkerhedshul, som Microsoft lukker med den ekstraordinære opdatering, er senest blevet udnyttet af ormen Bofra.

Den spredte sig mest spektakulært ved hjælp af bannerreklamerne på websites, som brugerne normalt må forventes at have tillid til. Ved hjælp af et hackerangreb mod en tysk leverandør af bannerreklamer havnede den ondsindede kode derfor hos blandt andet den engelske it-nyhedstjeneste The Register.

Det betød, at nyhedstjenesten måtte advare de tusindvis af Internet Explorer-brugere, som havde besøgt tjenesten mens den ondsindede kode blev spredt via bannerne.

Relevant link

Microsoft Sikkerhedsbulletin MS04-040

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Årets CISO 2026

    Event: Årets CISO 2026

    Sikkerhed | København

    Vi glæder os til at løfte sløret for flere detaljer til denne konference. I mellemtiden kan du tilmelde dig og dermed have tidspunktet reserveret i din kalender.

    22 oktober 2026 | Gratis deltagelse

    Epona A/S

    Senior Developer (.NET/Azure)

    Sydjylland

    IT Forum Gruppen

    Senior Network Consultant / Fortinet Specialist

    Midtjylland

    Capgemini Danmark A/S

    Senior Domain Solution Architect NCE - Pharma Technical Operations (Senior Director/VP)

    Københavnsområdet

    Forsvaret

    Senior AI Research & Innovation Lead til Forsvarets AI Center

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

    Marlene Gudman

    IFS Danmark A/S

    Guardsix har pr. 1. april 2026 ansat Annbritt Andersen som Global Chief Revenue Officer (CRO). Hun skal især beskæftige sig med at geare organisationen til en markant skalering i Europa. Hun har tidligere beskæftiget sig med globale kommercielle strategier for nogle af branchens allerstørste spillere, herunder Microsoft. Nyt job

    Annbritt Andersen

    Guardsix

    Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job

    Kristina Svingel Jeppesen

    Netip A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Efter stort angreb: Hackere hævder at have fået fingre i 24 af Novo Nordisks AI-modeller - forlanger trecifret millionbeløb
    2 Mareridtet fortsætter for Novo Nordisk: Nu hævder yderligere en hackergruppe at have stjålet sensitive data
    3 En af verdens største har fået nok af Broadcom: Sætter VMware på porten efter pludselige prisstigninger på 175 procent
    4 Dine kommende Apple AirPods får indbygget kameraer: Derfor vil Apple filme fra dine øregange
    5 Stor-alarm hos en af verdens mest udbredte firewall-producenter: Ramt af kæmpe lækage
    6 Sparer 112 millioner kroner om året på at droppe Microsoft - men det er svært at bryde helt med selskabet
    7 Ny opdatering kan gøre din Windows 11 hurtigere: Sådan aktiverer du den nye turbo-knap
    8 Kæmpe it-omlægning i gang: Her er kommunernes største bekymringer

    Se seneste uge