Upladede Microsoft-fejlblade IE6 i fare

En sårbarhed i den endnu ikke-pakkede Microsoft-software udgør en mere alvorlig trussel mod brugere af Internet Explorer 6 end dem i den næste version af browseren. Sikkerhedsleverandøren Symantec har advaret.

Fejlen i Microsofts Access-database-software blev fremkommet ligesom Microsoft udstedte sine patches for måneden den 8. juli. Problemet er inden for ActiveX-kontrol af Snapshot Viewer, som gør det muligt for nogen at se en Access-rapport uden at starte softwaren.

Attackere udnytter aktivt sårbarheden ved enten at oprette websider eller hacking eksisterende websider for at være vært for angrebet. Hackerne lokker folk til siderne via spam eller en øjeblikkelig besked.

Internet Explorer 7 vil bede brugerne, før de downloader en bestemt ActiveX-kontrol for første gang. Men Internet Explorer 6 vil automatisk downloade kontrollen, da den er digitalt underskrevet af Microsoft, siger Symantec i dets vejledning.

Når ActiveX-styringen er downloadet, kan fejlen tillade, at angriberen overtager en pc.

Symantec råder administratorer at indstille tre "kill bits" til ActiveX-styringen, en Microsoft-løsning for at forhindre en ActiveX-kontrol i at køre i Internet Explorer.

Microsoft har hidtil ikke sagt, hvornår det har planer om at frigive en rettelse. Selskabets næste patchrunde er planlagt til 12. august.

Symantec sagde i sidste måned, at crimewareforfattere havde medtaget en udnyttelse af Snapshot viewer sårbarheden i Neosploit, et værktøjssæt, der gør det muligt for hackere at køre en håndfuld udnyttelse på en pc for at se om det har en uoverhalet sårbarhed. Men i sidste uge viste det sig, at de cyberkriminelle, der skabte Neosploit, havde stoppet med at sælge den, måske fordi prisen var - op til US $ 3.000 - var for høj, og efterspørgslen faldt.