Microsoft: IE5, IE6 Juga Terjejas oleh Kerentanan Penyemak Imbas

Kerentanan unpatched yang dijumpai di Internet Explorer 7 juga memberi kesan kepada versi lama penyemak imbas serta versi beta terkini, Microsoft memberi amaran Khamis.

Maklumat baru meluaskan kumpulan pengguna yang boleh berisiko secara tidak sengaja dijangkiti dengan perisian berniat jahat yang dipasang pada PC mereka, kerana Microsoft belum mempunyai patch siap.

Dalam nasihat yang dikemas kini pada hari Khamis, Microsoft mengesahkan bahawa IE 5.01 dengan Service Pack 4, IE6 dengan dan tanpa Perkhidmatan Pack 1 dan IE8 Beta 2 pada semua versi sistem operasi Windows berpotensi terdedah.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Juga terdedah adalah pengguna yang menjalankan IE7 di Windo ws XP Service Pack 2 and 3, Windows Server 2003 Service Pack 1 and 2, Windows Vista dengan dan tanpa Service Pack 1 dan Windows Server 2008.

Syarikat menjelaskan apa masalahnya dengan penyemak imbas selepas laporan yang bertentangan dari syarikat keselamatan komputer.

"Kerentanan wujud sebagai rujukan penunjuk yang tidak sah dalam fungsi mengikat data Internet Explorer," menurut nasihat itu. "Apabila mengikat data didayakan (yang merupakan keadaan lalai), mungkin di bawah syarat-syarat tertentu untuk objek yang akan dikeluarkan tanpa mengemaskini panjang array, meninggalkan potensi untuk mengakses ruang memori objek yang dihapuskan. Ini boleh menyebabkan Internet Explorer keluar tidak disangka-sangka, dalam keadaan yang boleh dieksploitasi. "

Microsoft berkata ia hanya melihat serangan terhad yang menyasarkan kecacatan di IE7. Namun, penganalisis keselamatan mengatakan bahawa semakin banyak laman web sedang dibina yang dapat mengeksploitasi kerentanan.

Masalahnya amat teruk kerana dalam beberapa kes pengguna hanya perlu melihat laman web untuk memiliki kuda Trojan program dimuat turun secara automatik ke mesin mereka. Sekali di PC, penggodam boleh mengarahkan program untuk memuat turun perisian lain yang buruk dan melakukan tindakan seperti menghantar spam dan mencuri data.

Microsoft menggariskan dalam beberapa nasihat beberapa cara yang dapat mengurangkan peluang terjatuh korban, bergantung pada apa yang versi penyemak imbas dan sistem pengendalian yang mereka gunakan. Namun, penyelesaian yang pasti sekarang adalah menggunakan pelayar lain sehingga Microsoft memperbaikinya.

Microsoft kerap mengeluarkan patch pada Selasa kedua bulan itu, tetapi telah diketahui untuk melepaskan apa yang disebut patch out-of-band jika ancaman dianggap sangat teruk. Microsoft tidak mengatakan sama ada ia akan melakukan itu dan cenderung untuk hanya membebaskannya.

Hari patch yang dirancang seterusnya adalah 13 Januari, yang bermaksud penyerang akan mempunyai sekurang-kurangnya sebulan untuk menjangkiti seberapa banyak komputer yang mungkin jika Microsoft merancang untuk mengeluarkan patch untuk cacat pada hari itu.

Maklumat mengenai kelemahan yang pertama kali muncul di rantau China. Pakaian keselamatan Cina, dikenali sebagai knownsec, telah mengatakan ia mendengar khabar angin tentang kod beredar di pasaran jenayah bawah tanah awal tahun ini. Ia dipercayai kod eksploitasi telah dijual pada satu titik sebanyak AS $ 15,000.

Kelemahan perisian sangat berharga kepada penjenayah siber, kerana kelemahan itu boleh digunakan untuk mencuri maklumat kad kredit dan data kewangan lain.

tahun, Microsoft telah menyatakan rekodnya yang lebih baik pada keselamatan komputer tetapi masih dibebani oleh penemuan baru bug pada perisian lama.