Microsoft advarer nu mod et nyopdaget sikkerhedshul i Internet Explorer, som kan gøre det muligt at plante skadelig kode på computeren, hvis man besøger det forkerte websted. Hullet findes kun i Internet Explorer version 6 og 7 til Windows 2000, XP og Vista samt Windows Server 2003 og 2008.
Den nyeste version 8 af browseren skulle ikke være berørt. Protected Mode i IE 7 til Vista begrænser også risikoen.
Problemet beskrives i denne Security Advisory fra Microsoft. Der er indtil videre ingen patch til browseren.
Fejlen ligger i CSS-objektet getElementsByTagName(), som i nogle tilfælde kan udnyttes til at få browseren til at gå ned og afvikle angriberens kode.
Microsoft fortæller at man ikke har set angreb der udnytter koden, men det er formentlig kun et spørgsmål om kort tid.
For at beskytte mod hullet anbefaler Microsoft at sætte sikkerhedsniveauet for zonerne Internet og Intranet til ”høj” for at forhindre afviklingen af ActiveX controls og Active Scripting. Desuden bør man aktivere Data Execution Protection (DEP) til IE 6 og 7.
