Nok en uoffisiell Windows-oppdatering

Sikkerhetsselskapet Eeye er klar med en patch som fikser kritiske hull i Internet Explorer. Microsoft vil vente.

Forrige uke ble det avdekket enda flere sårbarheter i Internet Explorer. Den mest alvorlige av dem ligger i hvordan nettleseren håndterer TextRange-anrop, da en angriper kan ta kontroll over et system og spre destruktiv kode gjennom en spesielt utformet nettside.

 

Mandag kveld kom sikkerhetsselskapet Eeye med en egen oppdatering som skal forhindre problemet. Tirsdag gjorde Determina det samme.

 

- Ha is i magen

Microsoft vil som vanlig ikke anbefale sine kunder å installere slike oppdateringer.  

 

- Våre kunder kan selvfølgelig overveie risikoen og legge inn en patch fra en tredjepart, men hvilke komplikasjoner dette kan medføre for systemet er ukjent, skriver Mike Reavey i bloggen til Microsoft Security Response Center.

 

Reavey skriver videre at Microsoft jobber med å analysere sårbarheten og at de vil komme med en oppdatering nå den er klar.

 

Situasjonen er ikke ulik det som skjedde rundt årsskiftet da det ble avdekket sårbarheter i håndteringen av wmf-filer i Windows. Flere virusutviklere utnyttet dette sikkerhetshullet til å spre destruktiv kode og mens Microsoft ruget på sin oppdatering kom det alternative rettelser fra uavhengige sikkerhetsselskaper.

 

Neste ordinære sikkerhetsoppdatering fra Microsoft skal etter planen slippes 11. april.