Critical Zero-Day Flaw Membuka Lubang di IE 6 dan 7

Ancaman yang baru ditemukan yang belum memiliki patch dapat memungkinkan serangan berbasis Web terhadap Internet Explorer 6 dan 7 browser terbaru, menurut perusahaan keamanan.

Symantec dan Vupen Security telah memposting peringatan tentang bug, yang melibatkan cara IE menangani style sheet cascading, atau CSS. Menurut posting, browsing situs Web dengan kode serangan tertanam akan memicu serangan itu. Situs ini dapat berupa situs jahat yang dibuat khusus, atau situs yang dibajak dan diserang kode serangan.

Menurut pos Vupen, cacat mempengaruhi IE 6 dan 7 pada komputer XP SP3 yang sepenuhnya ditambal dan dapat dijalankan perintah apa pun pada sistem yang rentan, seperti menginstal malware. Belum ada laporan serangan aktif, namun kode eksploitasi tersedia untuk umum.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pos Symantec mengatakan tesnya mengkonfirmasi karya eksploit yang dipublikasikan, tetapi itu itu "menunjukkan tanda-tanda keandalan yang buruk," yaitu. itu tidak selalu berhasil. Sebuah e-mail tambahan dari Symantec mengatakan bahwa Vista juga terpengaruh, tetapi Microsoft belum mengkonfirmasi kerentanannya.

Zero-days yang mempengaruhi IE biasanya merupakan ancaman besar, sehingga penyerang kemungkinan akan mulai menyembunyikan serangan yang menargetkan kekurangan ini di situs Web yang dikompromikan, dan memuntahkan email dan komentar online dengan tautan ke situs yang mengandung serangan.

Menurut Vupen, menonaktifkan Active Scripting di Internet dan zona keamanan intranet Lokal akan memblokir serangan terhadap cacat ini, tetapi hal itu akan kemungkinan memblokir fungsi situs Web juga. Laporan saat ini tidak mencantumkan IE 8 sebagai rentan, tetapi Symantec memperingatkan bahwa "ada kemungkinan bahwa versi lain dari IE dan Windows mungkin juga terpengaruh." Taruhan terbaik Anda mungkin menggunakan browser alternatif seperti Firefox sampai patch tersedia.

Pembaruan (1:55 sore) : Microsoft telah mengkonfirmasi bahwa kerentanan mempengaruhi IE 6 dan IE 7, tetapi tidak IE 8. Perusahaan mengatakan saat ini tidak menyadari adanya serangan yang ada terhadap cacat, dan mungkin memutuskan untuk melepaskan patch di luar band setelah selesai penyelidikannya.