Ett nytt säkerhetsproblem i Internet Explorer har avslöjats av en polsk teknisk forskargrupp.
Den oparpade buggen finns i VBScript och tillåter hackare att plantera skadlig programvara på maskiner som kör Windows XP och webbläsaren IE.
Hackare kan utnyttja hjälpfilerna i Internet Explorer, vilket leder till ”fjärrkörning av kod”, säger Maurycy Prodeus, en säkerhetsanalytiker hos den polska gruppen iSEC Security Research, som hittade och loggade problemet förra fredagen.
Problemet i fråga handlar om användning av VBScript- och Windows-hjälpfiler i Internet Explorer. Windows Hjälpfiler ingår i en lång lista över vad vi kallar ”osäkra filtyper”
Prodeus tillade att ”viss användarinteraktion behövs” för att utlösa sårbarheten. ”Offer[s] måste trycka på F1 när [a] Meddelanderuta popup visas”.
Microsoft medger att det har ett problem. ”Ett problem publicerades offentligt som kunde tillåta en angripare att vara värd för en uppsåtligt skapad webbsida och köra godtycklig kod om de kunde övertyga en användare att besöka webbsidan och sedan få dem att trycka på F1-tangenten som svar på en popup-dialogruta ”, svarade Microsofts senior säkerhetskommunikationschef Jerry Bryant på Microsofts säkerhetsblogg.
”Frågan i fråga involverar användningen av VBScript och Windows Hjälpfiler i Internet Explorer. Windows Hjälpfiler ingår i en lång lista över vad vi kallar ”osäkra filtyper”. Dessa är filtyper som är utformade för att anropa automatiska åtgärder under normal användning av filerna. Även om de kan vara mycket värdefulla produktivitetsverktyg, kan de också användas av angripare för att försöka kompromissa med ett system.”
Han tillade att problemet ännu inte har uppstått på något annat Microsoft OS.
IE har hamnat under massgranskning under de senaste månaderna, efter att attacker mot företag som Google och Adobe avslöjat ett säkerhetsfel i IE6 som kan utnyttjas av hackare.
