Kesilapan Hari Zaman Kritikal Membuka Lubang di IE 6 dan 7

Satu ancaman yang baru ditemui yang belum mempunyai sebarang patch boleh membenarkan serangan berasaskan web terhadap pelayar Internet Explorer 6 dan 7 yang terkini, menurut syarikat keselamatan.

Kedua-dua Symantec dan Vupen Security telah menyiarkan makluman tentang pepijat, yang melibatkan cara IE mengendalikan lembaran gaya cascading, atau CSS. Menurut catatan, melayari laman web dengan kod serangan tertanam akan mencetuskan serangan. Laman web itu boleh dijadikan lokasi yang berniat jahat, atau salah satu yang dirampas dan mempunyai kod serangan yang dimasukkan.

Menurut jawatan Vupen, cacat itu mempengaruhi kedua-dua IE 6 dan 7 pada komputer XP SP3 yang dipasang sepenuhnya dan dapat membolehkan berlari sebarang arahan pada sistem terdedah, seperti memasang malware.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Siaran Symantec mengatakan ujiannya mengesahkan karya eksploit yang diterbitkan, tetapi itu ia "menunjukkan tanda-tanda kebolehpercayaan miskin," iaitu. ia tidak semestinya berfungsi. E-mel tambahan dari Symantec mengatakan bahawa Vista juga terpengaruh, tetapi Microsoft belum mengesahkan kerentanan.

Zero-days yang mempengaruhi IE biasanya ancaman utama, jadi penyerang kemungkinan akan menyembunyikan serangan yang menargetkan cacat ini

Menurut Vupen, melumpuhkan Active Scripting dalam Internet dan zon keselamatan intranet Tempatan akan menghalang serangan terhadap cacat ini, tetapi berbuat demikian akan kemungkinan juga menyekat fungsi laman web. Laporan semasa tidak menyenaraikan IE 8 sebagai terdedah, tetapi Symantec memberi amaran bahawa "terdapat kemungkinan versi IE dan Windows lain juga mungkin terjejas." Betul terbaik anda ialah menggunakan pelayar alternatif seperti Firefox sehingga patch tersedia.

Update (1:55 petang) : Microsoft telah mengesahkan bahawa kelemahan mempengaruhi IE 6 dan IE 7, tetapi bukan IE 8. Syarikat itu mengatakan ia tidak menyedari sebarang serangan yang sedia ada terhadap cacat itu, dan mungkin memutuskan untuk melepaskan patch out-of-band sebaiknya selesai siasatannya.