Cacat Microsoft yang Tidak Dicekalkan Meninggalkan IE6 di Risiko

Kerentanan dalam perangkat lunak Microsoft yang belum di-patch menimbulkan ancaman yang lebih parah bagi pengguna Internet Explorer 6 daripada yang ada pada versi browser berikutnya, vendor keamanan Symantec telah memperingatkan.

Cacat dalam perangkat lunak database Microsoft Access terungkap sama seperti Microsoft mengeluarkan patch untuk bulan pada 8 Juli. Masalahnya adalah dalam kontrol Snapshot Viewer ActiveX, yang memungkinkan seseorang untuk melihat laporan Access tanpa meluncurkan perangkat lunak.

Penyerang secara aktif mengeksploitasi kerentanan dengan membuat halaman Web atau meretas laman web yang ada untuk menghosting serangan. Para peretas membujuk orang-orang ke halaman melalui spam atau pesan instan.

Internet Explorer 7 akan meminta pengguna sebelum mengunduh kontrol ActiveX tertentu untuk pertama kalinya. Tetapi Internet Explorer 6 akan secara otomatis mengunduh kontrol karena ditandatangani secara digital oleh Microsoft, Symantec mengatakan dalam penasehatnya.

Setelah kontrol ActiveX diunduh, cacat dapat memungkinkan penyerang untuk mengambil alih PC.

Saran Symantec administrator untuk mengatur tiga "kill bits" untuk kendali ActiveX, sebuah solusi Microsoft untuk mencegah kontrol ActiveX dari berjalan di Internet Explorer.

Sejauh ini Microsoft tidak mengatakan ketika berencana untuk merilis perbaikan. Putaran tambalan berikutnya perusahaan dijadwalkan untuk 12 Agustus.

Symantec mengatakan bulan lalu bahwa penulis kejahatan telah memasukkan eksploitasi untuk kerentanan penampil Snapshot di Neosploit, sebuah toolkit yang memungkinkan para peretas menjalankan beberapa eksploitasi pada PC untuk melihat apakah itu memiliki kerentanan yang belum ditembus.

Namun minggu lalu, muncul cybercriminal yang menciptakan Neosploit telah berhenti menjualnya, mungkin karena harganya - hingga US $ 3.000 - terlalu tinggi, dan permintaan menurun.