Microsoft har nu for første gang meldt sig til orde i sagen om det formodede kinesiske angreb mod Google og mere end 30 andre selskaber – og Microsofts udmelding er ganske opsigtsvækkende. For softwarefirmaet fortæller i sin officielle blog, at angriberne sandsynligvis har udnyttet et nyt og hidtil ukendt sikkerhedshul i Internet Explorer til at trænge ind hos Google og de andre firmaer.
”Baseret på vores egne og andres efterforskning i sagen, er vi for nyligt blevet opmærksomme på, at en sårbarhed i Internet Explorer ser ud til at være en af flere angrebsmekanismer der er brugt i de meget sofistikerede og målrettede angreb mod flere selskaber,” skriver Mike Reavey, der er chef for Microsoft Security Response.
Han tilføjer at der ikke er tegn på, at Microsofts eget netværk eller tjenester som Hotmail har været udsat for angreb. Men Microsoft fordømmer angrebet på Google uden at nævne Kina ved navn.
Sikkerhedshullet er beskrevet i en helt ny Security Bulletin fra Microsoft. Der er ingen patch endnu, men Microsoft beskriver forskellige metoder til at begrænse risikoen.
Sårbarheden kan udnyttes ved at lokke brugeren til at klikke på et link i en mail eller i en IM-besked, som fører til en webside med malware der så installeres automatisk på computeren.
Sikkerhedsfirmaet McAfee fortæller mere om sikkerhedshullet og sin egen efterforskning i sagen på denne adresse. Der er spekulationer om, at angriberne også har udnyttet et pdf-sikkerhedshul.
Google-angrebet har nu også fået et navn – Operation Aurora – baseret på tekst, som McAfee har fundet i filer på angriberens maskine.
