Microsoft stresser med IE-lappesak

Microsoft stresser med IE-lappesak

Er i full gang med å tette alvorlig hull, men lover ingen hastefiks.

Microsoft er i testfasen når det gjelder lappesaken som skal dekke over en kritisk sårbarhet i Internet Explorer (IE).

- Vi har sett spekulasjoner om at Microsoft muligens vil slippe en hastefiks for denne saken utenfor lappetirsdagsrytmen. Det jeg kan si, er at vi jobber hardt med å lage en oppdatering som nå er under uttesting, sier Jerry Bryant fra Microsoft Security Response Center.

Han vil ikke garantere noen oppdatering utenfor lappetirsdagsrytmen.

- Vi utelukker aldri muligheten for en oppdatering utenfor den faste rytmen, sier han.

Kan ta tid

Neste faste lappetirsdag, som går av stabelen den andre tirsdagen hver måned, er ikke før 13. april.

Hullet det er snakk om angår versjonene IE6 og IE7. Microsoft advarte mot hullet forrige tirsdag, da det ble kjent at hackere allerede utnytter hullet. Onsdag forrige uke ble angrepskoden lagt ut på Metasploit. IE8 og sågar også urgamle IE5 har ikke dette hullet.

Bryant erkjenner at det kan ta noe tid å fikse hullet. Han peker på at testing er en kritisk og tidkrevende del av prosessen fordi Microsoft må sikre at lappesakene fungerer på alle versjoner av IE og Windows.

Slik omgår du hullet

Onsdag forrige uke kom Microsoft med et automatisert fikseverktøy som slår av komponenten i filen «iepeers.dll» som inneholder sårbarheten. Dette verktøyet fungerer for Windows XP og Windows Server 2003. Andre midlertidige løsninger Microsoft har foreslått, går på å slå av script, slå på Data Excecution Prevention (DEP) eller å oppgradere til IE8.

Det finnes også alternativer til IE som ikke har hullet, slik som Google Chrome, Apple Safari, Mozilla Firefox og norske Opera.