Det amerikanske Computer Emergency Readiness Team (US-CERT), anbefaler, at man af sikkerhedshensyn deativerer ActiveX-kontroller i Internet Explorer.
"US-CERT opfordrer brugere til at deaktivere ActiveX-kontroller som det er beskrevet i Securing Your Web Browser," lyder det blandt andet fra organisationen.
Facebook, MySpace
og Yahoo ramt
Det er ActiveX-sårbarheder i de populære sociale netværkstjenester MySpace og Facebook samt Yahoo!s musik-service, der får den amerikanske sikkerhedsorganisation til at anbefale, at man deaktiverer ActiveX-kontroller.
I mandags offentliggjorde Elezar Broad tre sårbarheder i ActiveX-kontroller, der anvendes til upload af fotos til Facebook og MySpace, samt sårbarheder relateret til Yahoo!s Music Jukebox.
De nye sårbarheder følger efter to sårbarheder som Elezar Broad fandt i sidste uge.
Sæt sikkerhedsniveau til 'høj'
US-CERT anbefaler at sætte sikkerhedsniveauet for Internet Explorer til 'høj', hvilket betyder at ActiveX-kontroller ikke kan anvendes af browseren.
Det er et drastisk skridt, der vil medføre, at websteder med funktionalitet baseret på ActiveX-kontroller ikke fungerer ordentligt.
"Det er den nemmeste måde at beskytte dig selv på," bekræfter Oliver Friedrichs, leder af Symantecs security response group.
"Men det kan også have en uheldig indvirkning på din browsing."
Gratis værktøj til deaktivering
I stedet for kan man vælge kun at deaktivere de relevante ActiveX-kontroller, som udgør en sårbarhed.
Det kræver imidlertid, at man redigerer i Windows opsætningen ('registrykeys'), hvilket ikke er noget, almindelige Windows-brugere er vant til.
Der er dog hjælp at hente på...fortsættes
...SANS Institut's Internet Storm Center (ISC).
Der har man et lille brugervenligt GUI-baseret værktøj, der nemt kan deaktivere de seks ActiveX-kontroller, der er ramt af sårbarhederne.
Det gratis værktøj kan downloades fra ISC's Web site.
"Det er en nem måde at deaktivere ActiveX-kontrollerne for folk, som ikke ved, hvordan man modificerer registry-keys direkte," siger Oliver Friedrichs.
Proof-of-concept udnyttet
Som en understregning af alvoren i ActiveX-problemet, advarede Symantecs sikkerhedsteam allerede mandag om, at en angrebskode, der var rettet mod en af de to sårbarheder i Yahoo!s Music Jukebox, var på internettet.
"Det var kun en dag efter, at proof of concept var blevet offentliggjort, at vi så en kode, der udnyttede sårbarheden i en af vores crawler honeypots," skriver Patrick Jungles, Symantec analytiker, i en advarsel til kunder hos Symantecs DeepSight trusselsnetværk.
Internet Explorer mest udsat
Browser plug-in problemer ses ofte.
"I første halvdel af 2007 talte Symantec 237 plug-in sårbarheder. Det skal sammenlignes med 108 for hele 2006," siger Oliver Friedrichs.
Størstedelen af de sårbarheder, 89 procent, var i ActiveX-kontroller, hvilket gjorde Internet Explorer til den ubestridt mest udsatte browser for plug-in exploits.
