Microsoft bekræfter Windows-hul

Artiklen blev oprindeligt publiceret den 29/9/2006

Det sikkerhedshul i Internet Explorer-komponenten WebViewFolderIcon, som blev offentliggjort i denne uge, findes i det underliggende Windows-system. Microsoft arbejder på en rettelse.

Sikkerhedsforskeren H.D. Moore demonstrerede sårbarheden i juli. Men dengang offentliggjorde han ikke nærmere tekniske detaljer om den. Det har han gjort i denne uge, hvor han har udsendt et demonstrationsprogram, der viser, hvordan sårbarheden kan udnyttes.

Microsoft har derefter udsendt en advarsel om sårbarheden. De oplyser, at den ikke ligger i den pågældende ActiveX-komponent, men i selve Windows Shell. Firmaet er i gang med at udvikle en programrettelse, der ventes klar til næste månedlige udsendelse af rettelser den 10. oktober.

Ifølge Microsoft er der endnu ikke set eksempler på angreb, der udnytter sårbarheden i praksis.

SANS Internet Storm Center har udarbejdet programmer, der slår ActiveX-kontrollen fra i registreringsdatabasen.

Links

• H.D. Moores beskrivelse af sårbarheden
• Microsofts advarsel om sårbarheden
• Internet Storm Centers omtale af problemet og en mulig løsning