Microsoft udsender hasteopdatering til IE

Internet Explorer og Visual Studio

Sikkerhedsopdateringen indeholder en rettelse af en kritisk sårbarhed i Internet Explorer og en moderat sårbarhed i Visual Studio.

Microsoft oplyser ikke præcist, hvad der patches, men vil sende to webcasts i morgen, hvor detaljerne i sårbarhederne vil blive præsenteret.

Sikkerhedseksperten Thomas Dullien, kendt under dæknavnet Halvar Flake, giver dog et bud på, hvad problemet er.

Det lader til, at der er en bug i det meget anvendte Active Template Library (ATL).

Årsag til ActiveX-sårbarhed

Ifølge Halvar Flake er sårbarheden i ATL også den underliggende årsag til den ActiveX-sårbarhed som blev identificeret tidligere denne måned.

Her udsendte Microsoft et såkaldt kill-bit-patch, men den patch løser ikke det underliggende problem, som blandt andet Peter Kruse fra sikkerhedsfirmaet CSIS advarer imod i en kommentar til Computerworlds artikel.

Stadig risiko

Ifølge Halvar Flake er der også stadig risiko for udnyttelse af sårbarheden

Ifølge sikkerhedseksperter anvendes tusindvis af websites til online-angreb via denne ActiveX-sårbarhed.

En anden sikkerhedsekspert anbefaler, at den nye patch gives topprioritet af it-afdelingerne.

"Når Microsoft udsender en patch udenfor den normale opdateringsplan, så mener jeg, at det er fornuftigt for folk at bruge den," siger Roger Thompson, chief research officer hos AVG Technologies til IDG NEws Service.

Hasteopdatering inden offentliggørelse på Black Hat?

Microsoft har ikke givet nogen forklaring på, hvorfor patchen udsendes inden den planlagte opdatering 11. august.

Det kan være, at Microsoft ønsker at være på forkant med en eventuel offentliggørelse af sårbarheden på denne uges Black Hat-sikkerhedskonference i Las Vegas.

Patchen udsendes dagen før en Black Hat Briefing, hvor sikkerhedseksperterne Mark Dowd, Ryan Smith og David Dewey taler om browser-sikkerhedsproblemer.