Computerworld News Service: Udviklerne af det open source-baserede Metasploit-værktøj til penetrationstest har offentliggjort kode, der kan bruge til at kompromittere Microsofts browser Internet Explorer.
Men softwaren er ikke så pålidelig, som man først troede.
Koden udnytter en fejl i Internet Explorer, der blev opdaget sidste fredag i et proof-of-concept-angreb, der blev beskrevet på Bugtraq-maillisten.
Den første kode var helt upålidelig, men sikkerhedseksperter var bekymrede for, om nogen kunne udvikle en bedre version, der kunne udnyttes af cyber-kriminelle.
Det originale angreb anvendte en 'heap-spray'-teknik til at udnytte sårbarheden i IE, men i et stykke tid så det ud til, at holdet bag Metasploit havde udviklet en mere pålidelig kode.
Sårbarheden er i sig selv upålidelig
De anvendte en anderledes teknik, som er opfundet af Alexander Sotirov og Marc Dowd, til at udnytte fejlen, men nu har Metasploit trukket koden tilbage igen.
"Sårbarheden er i sig selv upålidelig," skrev udvikler hos Metasploit HD Moore i en Twitter-besked onsdag.
Metasploit-koden søgte at udnytte fejlen på to måder, hvoraf den ene har været "problematisk," og den anden, som anvendte heap-spray-teknikken, allerede har vist sig ineffektiv.
Microsoft fortæller i en mail, at virksomheden "ikke kender til angreb eller andet, som udnytter exploit-koden, der kan påvirke brugerne."
Vil kunne skade mange mennesker
Det er gode nyheder for brugerne af Internet Explorer, eftersom et pålideligt angreb ville have potentiale til at kunne skade en masse mennesker. De to versioner af browseren, der er sårbare over for fejlen - IE 6 og IE 7 - bliver brugt af omkring 40 procent af alle surfere på nettet.
Virksomheden har udsendt sikkerhedsinstruktioner, der fortæller, hvordan man kan skærme sig mod fejlen.
Ifølge Microsoft er den nye IE 8-browser ikke påvirket.
Fejlen findes i den måde, Internet Explorer henter visse CSS (Cascading Style Sheet)-objekter, der bruges til at skabe standardiseret layout på hjemmesider. Bekymrede brugere kan enten opgradere deres browser eller slå JavaScript fra for at undgå angreb.
Oversat af Marie Dyekjær Eriksen
