Microsoft Readies Emergency IE-patch

Microsoft tager det usædvanlige trin af rushing ud to nødsikkerhed patches forud for sine regelmæssigt planlagte opdateringer den 11. august.

Plasterne vil indeholde en kritisk rettelse til Internet Explorer samt et relateret "moderat" haster med Microsoft Visual Studio. Internet Explorer-bulletin vil forsvare dybtgående ændringer i Internet Explorer for at hjælpe med at yde yderligere beskyttelse for de problemer, der behandles af Visual Studio-bulletinen, "sagde Microsoft i en blogpost sent på fredag.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Plasterne er indstillet til at blive udgivet tirsdag klokken 10 på vestkyststidspunktet.

Microsoft sagde ikke præcis, hvad det var at fastsætte. Selskabet springer typisk ikke ud disse "out-of-band" nødopdateringer, medmindre fejlen udnyttes af cyberkriminelle; I dette tilfælde er fejlene, der patches, imidlertid ikke gearet i angreb, ifølge Microsoft.

Problemet ser ud til at ligge i en udbredt Windows-komponent kaldet Active Template Library (ATL). Ifølge sikkerhedsforsker Halvar Flake er denne fejl også skylden for en ActiveX-fejl, som Microsoft identificerede tidligere denne måned. Microsoft udstedte en dræbte patch til problemet den 14. juli, men efter at have kigget på fejlen fastslog Flake, at plåstret ikke løste den underliggende sårbarhed, så nye angreb er mulige.

Uanset hvilket problem den nye patch har bør være en topprioritet for it-medarbejdere i næste uge. "Når Microsoft går til en out-of-band patch, synes jeg det er fornuftigt for folk at anvende det," sagde Roger Thompson, chefforsker med AVG Technologies.

Microsoft gav ikke en grund til den forhastede opdatering, men det kan forsøge at holde sig foran enhver offentliggørelse ved næste uges Black Hat-sikkerhedskonference i Las Vegas. Nødopdateringerne skal udgives dagen før Black Hat Briefings, hvor forskere Mark Dowd, Ryan Smith og David Dewey vil tale om sikkerhedsproblemer i browseren.

Ifølge sikkerhedseksperter har tusindvis af websteder været vant til at Start online-angreb, der udnytter ActiveX-sårbarheden patched i juli. Fejlen blev først rapporteret til Microsoft for mere end et år siden.