Microsoft: IE5, IE6 Ook beïnvloed door browser-beveiligingslek

Een niet-gepatcht beveiligingslek in Internet Explorer 7 is ook van invloed op oudere versies van de browser en de nieuwste bètaversie, waarschuwde Microsoft donderdag.

De nieuwe informatie verbreedt de groep gebruikers die het risico lopen per ongeluk geïnfecteerd te raken met schadelijke software die op hun pc is geïnstalleerd, omdat Microsoft nog geen patch klaar heeft.

In een advies dat donderdag werd bijgewerkt, bevestigde Microsoft dat IE 5.01 met Service Pack 4, IE6 met en zonder Service Pack 1 en IE8 Beta 2 op alle versies van het Windows-besturingssysteem zijn mogelijk kwetsbaar.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Ook kwetsbaar zijn gebruikers met IE7 op Windo ws XP Service Pack 2 en 3, Windows Server 2003 Service Pack 1 en 2, Windows Vista met en zonder Service Pack 1 en Windows Server 2008.

Het bedrijf heeft duidelijk gemaakt wat het probleem is met de browser na conflicterende rapporten van computerbeveiligingsbedrijven.

"Het beveiligingslek bestaat als een ongeldige pointerreferentie in de databindende functie van Internet Explorer", aldus het advies. "Wanneer gegevensbinding is ingeschakeld (dit is de standaardstatus), is het onder bepaalde voorwaarden mogelijk dat een object wordt vrijgegeven zonder de array-lengte bij te werken, waardoor de mogelijkheid overblijft om toegang te krijgen tot de geheugenruimte van het verwijderde object. onverwacht, in een staat die kan worden misbruikt. "

Microsoft heeft alleen beperkte aanvallen op de fout in IE7 gezien. Veiligheidsanalisten hebben echter gezegd dat er steeds meer websites worden gebouwd die het beveiligingslek kunnen misbruiken.

Het probleem is bijzonder ernstig omdat gebruikers in sommige gevallen slechts een website hoeven te bekijken om een ​​Trojaans paard te hebben programma automatisch gedownload naar hun computer. Eenmaal op een pc kan de hacker het programma doorverwijzen om andere slechte software te downloaden en acties uit te voeren zoals het verzenden van spam en het stelen van gegevens.

Microsoft heeft in de advisering verschillende manieren geschetst waarop mensen de kans op het slachtoffer kunnen verkleinen, afhankelijk van wat versie van de browser en het besturingssysteem dat ze gebruiken. Het is echter een goed idee om een ​​andere browser te gebruiken totdat Microsoft het probleem heeft opgelost.

Microsoft publiceert regelmatig patches op de tweede dinsdag van de maand, maar er is van bekend dat het een out-of-band patch vrijgeeft als de patch dreiging wordt als ernstig genoeg beschouwd. Microsoft zegt niet of het dat zal doen en heeft de neiging om gewoon de fix vrij te geven.

De volgende geplande patchdag is 13 januari. Dit betekent dat aanvallers ten minste een maand nodig hebben om zoveel mogelijk computers te infecteren als Microsoft van plan is om een patch uitvaardigen voor de fout die dag.

Informatie over de kwetsbaarheid verscheen voor het eerst in de Chinese regio. Een Chinese beveiligingsoutfit, bekend als knownc, heeft eerder dit jaar geruchten gehoord over code die circuleert in criminele ondergrondse markten. Er wordt geloofd dat exploitcode op een gegeven moment voor wel 15.000 dollar is verkocht.

Softwaregevoeligheden zijn zeer waardevol voor cybercriminelen, omdat de fouten kunnen worden gebruikt om creditcardgegevens en andere financiële gegevens te stelen.

In de afgelopen paar jaar In de loop van de jaren heeft Microsoft haar steeds betere reputatie op het gebied van computerbeveiliging aangewakkerd, maar heeft zij nog steeds last van nieuwe ontdekkingen van bugs in oudere software.