IE-kappløp mellom MS og kriminelle

IE-kappløp mellom MS og kriminelle

Sårbarhet i Internet Explorer har fått fart på skurker og Microsoft.

Hackere skriver så knappene spruter veggimellom for å utnytte det ulappede sikkerhetshullet i Internet Explorer (IE) 6 og 7, mens Microsoft koder minst like fort for å tette det før skurkene kommer i mål, ifølge eksperter på området.

Mandag ble sårbarheten kjent. Siden angrepskoden ble postet i sin helhet som bevis, er det nå kamp mellom gode og onde krefter over hullet. Koden som ble postet som bevis virker imidlertid ikke på alle systemoppsett, så hackere må utbedre koden på et vis for å få full effekt av eventuelle angrep.

- Det er et kappløp. Definitivt, seir Ben Greenbaum, senior forskningsbestyrer hos Symantec, Ben Greenbaum, som mener sårbarheten er kritisk.

Jobbes med stabil angrepskode

Han får støtte i kappløpretorikken fra Wolfgang Kandek, teknologisjef hos sikkerhetsselskapet Qualys.

- Definitivt et slags kappløp. Det er et spørsmål om Microsoft kan fikse det først eller om hackere kan få noe til å virke stabilt, sier han til Computerworlds internasjonale nyhetstjeneste.

Ifølge sistnevnte, har alternative versjoner av den originale angrepskoden allerede dukket opp på nettet. Dette betyr at hackere allerede jobber på mer stabile versjoner, mener han.

Greenbaum mener hackerne har gode muligheter for å utvikle en mer velfungerende kode.

- Jobben til hackerne blir ikke enkel, men kan gjøres uten for mye vanskelighet, sier han.

Tester farvannet

Mens kampen mellom Microsoft og skurkene pågår, har programvaregiganten foreslått flere metoder for å unngå angrepet på til fiksen er på plass.

Men Kandek synes forslagene er svake.

- Motgiften er rimelig komplisert, og ikke veldig levedyktig for de fleste brukere, mene han.

Microsoft har på sin side også hintet om at hullet kan være en fin anledning til å oppgradere til IE8, den nyeste IE-versjonen som foreligger, og som ikke er berørt av hullet. Kandek bifaller det forslaget, men påpeker at det ikke er like enkelt for bedriftsbrukere der et slikt bytte innebærer en større prosess.

Microsoft kommer med sikkerhetsoppdateringer neste lappetirsdag, 8. desember, men flere sikkerhetsforskere tviler på at Microsoft rekker å lappe IE-hullet til den tid.