Det nyupptäckta säkerhetshålet utnyttjar en bugg i skriftspråket Vbscript som gör det möjligt för en hackare att plantera skadlig kod på en användares dator. Buggen drabbar webbläsarna IE7 och IE8 om de körs på Windows XP.

Buggen upptäcktes av det polska säkerhetsföretaget Isec Security Research och företaget publicerade i fredags detaljer kring hur buggen fungerar. Säkerhetshålet kan utnyttjas för en så kallad snabbattack (zero-day attack), men enligt Microsoft har det ännu inte kommit in några rapporter om att någon användare drabbats.

- Först måste en hackare locka en användare att besöka en webbsida med skadlig kod. Användaren måste dessutom köra på Windows XP med antingen IE7 eller IE8. Hackaren måste sedan lura användaren att trycka på F1 när ett visst popup-fönster visas, säger Maurycy Prodeus på Isec Security Research.

Säkerhetsforskaren Cesar Cerrudo har bekräftat att säkerhetshålet existerar och att det går att utnyttja.

- Jag har provat säkerhetshålet och kan bekräftat att det fungerar med de senaste uppdateringarna installerade på en dator med Windows XP och IE8, säger Cesar Cerrudo.

Även Microsoft bekräftade igår att säkerhetshålet fungerar men har ännu inte publicerat någon information om hur användarna kan skydda sig. Nästa uppdatering från Microsoft är planerad den 9 mars, det är dock inte känt om det senaste säkerhetshålet kommer att åtgärdas i den uppdateringen.

Enligt Cesar Cerrudo så finns det två lösningar för att undvika problemet, antingen blockera port 445 för utgående trafik eller byta till en annan webbläsare.

IDG News