Søg

Nyt angreb på Internet Explorer

Metasploit forsøger igen at ramme Internet Explorer i en opdateret version. Men angrebskoden er ikke særlig driftsikker.

30. november 2009 kl. 07.31
Artikel top billede
Robert McMillan Robert McMillan

Computerworld News Service: Udviklerne af det open source-baserede Metasploit-værktøj til penetrationstest har offentliggjort kode, der kan bruge til at kompromittere Microsofts browser Internet Explorer.

Men softwaren er ikke så pålidelig, som man først troede.

Koden udnytter en fejl i Internet Explorer, der blev opdaget sidste fredag i et proof-of-concept-angreb, der blev beskrevet på Bugtraq-maillisten.

Den første kode var helt upålidelig, men sikkerhedseksperter var bekymrede for, om nogen kunne udvikle en bedre version, der kunne udnyttes af cyber-kriminelle.

Det originale angreb anvendte en 'heap-spray'-teknik til at udnytte sårbarheden i IE, men i et stykke tid så det ud til, at holdet bag Metasploit havde udviklet en mere pålidelig kode.

Sårbarheden er i sig selv upålidelig

De anvendte en anderledes teknik, som er opfundet af Alexander Sotirov og Marc Dowd, til at udnytte fejlen, men nu har Metasploit trukket koden tilbage igen.

"Sårbarheden er i sig selv upålidelig," skrev udvikler hos Metasploit HD Moore i en Twitter-besked onsdag.

Metasploit-koden søgte at udnytte fejlen på to måder, hvoraf den ene har været "problematisk," og den anden, som anvendte heap-spray-teknikken, allerede har vist sig ineffektiv.

Microsoft fortæller i en mail, at virksomheden "ikke kender til angreb eller andet, som udnytter exploit-koden, der kan påvirke brugerne."

Vil kunne skade mange mennesker

Det er gode nyheder for brugerne af Internet Explorer, eftersom et pålideligt angreb ville have potentiale til at kunne skade en masse mennesker. De to versioner af browseren, der er sårbare over for fejlen - IE 6 og IE 7 - bliver brugt af omkring 40 procent af alle surfere på nettet.

Virksomheden har udsendt sikkerhedsinstruktioner, der fortæller, hvordan man kan skærme sig mod fejlen.

Ifølge Microsoft er den nye IE 8-browser ikke påvirket.

Fejlen findes i den måde, Internet Explorer henter visse CSS (Cascading Style Sheet)-objekter, der bruges til at skabe standardiseret layout på hjemmesider. Bekymrede brugere kan enten opgradere deres browser eller slå JavaScript fra for at undgå angreb.

Oversat af Marie Dyekjær Eriksen

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Roundtable: Hybrid og cloud – sikre og strategiske it-valg i en ustabil verden

    Infrastruktur | Frederiksberg

    Roundtable: Hybrid og cloud – sikre og strategiske it-valg i en ustabil verden

    Eksklusive danske digitale ledere mødes til rundbordssamtale om balancen mellem fart, sikkerhed og compliance. Hør hvordan CIO’er bygger robuste hybrid cloud-strategier, der skaber reel forretningsværdi og styrker modstandskraften.

    Strategisk It-sikkerhedsdag 2026 - København

    Sikkerhed | København

    Strategisk It-sikkerhedsdag 2026 - København

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem to spor og styrk både indsigt og netværk. Deltag i København 20. januar.

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Andre events | København

    Executive Conversations: Fra hype til afkast – her er vinderne af AI-ræset

    Få et klart overblik over AI’s reelle effekt i danske virksomheder. Arrangementet giver unge talenter og ambitiøse medarbejdere viden, der løfter karrieren, skærper beslutninger og gør dig klar til at præge den digitale udvikling. Læs mere og...

    Se alle vores events inden for it

    FOA

    To Full Stack udviklere til digitalisering der gør en forskel

    Københavnsområdet

    Netcompany A/S

    Test Consultant

    Nordjylland

    KMD A/S

    Product Owner

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Form fremtidens IT-serviceplatform - søg stillingen som Change Manager i Cyberdivisionen, Hvidovre

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Netip A/S har pr. 15. september 2025 ansat Benjamin Terp som Supportkonsulent ved netIP's kontor i Odense. Han er uddannet IT-Supporter hos Kjaer Data. Nyt job

    Benjamin Terp

    Netip A/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Johan Léfelius som it-konsulent. Han skal især beskæftige sig med med support, drift og vedligeholdelse af kunders it-miljøer samt udvikling af sikre og stabile løsninger. Han kommer fra en stilling som kundeservicemedarbejder hos Telia Company Danmark A/S. Han er uddannet (under uddannelse) som datatekniker med speciale i infrastruktur. Han har tidligere beskæftiget sig med kundeservice, salg og teknisk support. Nyt job

    Johan Léfelius

    IT Confidence A/S

    EG Danmark A/S har pr. 1. december 2025 ansat Søren Jermiin Olesen som Senior Product Manager. Han skal især beskæftige sig med finans- og debitorstyring i det offentlige med ansvar for økonomistyringssystemet EG ØS Indsigt. Han kommer fra en stilling som Product Manager hos KMD A/S. Han er uddannet Cand. oecon. Han har tidligere beskæftiget sig med økonomi bl.a. i Aarhus Kommune og været med til at udvikle NemØkonom før og efter salget til KMD. Nyt job

    Søren Jermiin Olesen

    EG Danmark A/S

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Huy Duc Nguyen som Developer ERP. Han skal især beskæftige sig med at bidrage til at udvikle, bygge og skræddersy IT-løsninger, der skaber vækst og succes i vores kunders forretninger. Han kommer fra en stilling som Software Developer hos Navtilus. Han er uddannet i bioteknologi på Aalborg University. Nyt job

    Huy Duc Nguyen

    Norriq Danmark A/S

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Microsoft sænker cloud-priserne i Danmark markant: "Jeg kan næsten ikke tro det"
    2 En ny ChatGPT er sluppet løs: Derfor er den så meget bedre
    3 Stress, sygemeldinger og “frygt for mentalt helbred” var hverdag i dansk it-kæmpe: Direktør stoppede for få uger siden
    4 Netværkstest: Denne ekstreme WiFi 7-router brillerer i test og er lige nu sat ned til kup-pris
    5 Regeringen vil forbyde VPN-tjenester: For at forhindre udenlandsk streaming
    6 Apple klar med vigtig iPhone-opdatering som du bør hente snarest: Her er det nye look og de nye features
    7 Morgen-briefing: Apple lapper to alvorlige sikkerhedshuller - både iPhones og iPads er berørt / Vandskade får Danske Spils app og hjemmeside til at gå i sort / Google risikerer at få indefrosset 800 millioner ovenpå russisk dom
    8 Nørgaard: Tving dem over i clouden, hæv prisen voldsomt… og, vent! Satans! EU har nogle regler! Øv!

    Se seneste uge