Et nyopdaget hul i Microsofts webserversoftware og browsere udsætter millioner af internetbrugere verden over for at blive udnyttet af hackere. Microsoft erkender selv, at fejlen er kritisk.
Microsoft har ellers indført en ny rangorden af sikkerhedsbrister, som skal bringe antallet af kritiske brister ned, så systemadministratorer ikke bliver bombarderet med meddelelser om kritiske fejl. Men med det nye sikkerhedshul er der ingen vej uden om, for Microsoft vil have så mange som muligt til at hente den patch, der er udarbejdet for at lukke hullet.
Selve fejlen vedrører et stykke software, Microsoft Data Access Component (MDAC), som bliver brugt til at udveksle data med databaser. Det kører sammen med Microsofts webserversoftware, Internet Information Service (IIS). Servere, som kører den seneste version af MDAC, 2.7., er ikke berørt af hullet, og også brugen af IIS Lockdown Tool eliminerer sikkerhedshullet.
Ifølge CNet kører flere end 4,1 millioner websteder på Internet Information Service, men MDAC er ikke installeret som default på dem. Det skal administratoren selv have gjort. Det får nogle analytikere til at mane til besindighed, mens sikkerhedsfirmaet Foundstone, som fandt fejlen, advarer om, at sikkerhedshullet giver hackerne alle tiders mulighed for at sprede nye orme på nettet.
Ifølge CNet giver hullet mulighed for, at hackeren kan tage kontrol med en webserver, men det er ikke den eneste konsekvens. Også Microsofts browser, Internet Explorer, benytter det usikre dataudvekslingssoftware i versionerne 5.01, 5.5 og 6. Dermed kan almindelige Windows-brugere verden over også blive angrebet, med mindre de kører XP, som ikke er omfattet af hullet.
Lynn Terwoerds, som er chef for Microsofts sikkerhedsprogram, siger dog til CNet, at fejlen er langt sværere for hackere at udnytte på klienter end på serversoftwaren.
Ifølge Foundstone er der endnu ikke dukket orme op, som udnytter det nye sikkerhedshul, men administrerende direktør George Kurtz mener, at det kun er et spørgsmål om tid, inden det vil ske.
