Ny Attack Fells Internet Explorer

Koden postades fredag ​​till Bugtraqs e-postlista av en oidentifierad hacker. Enligt säkerhetsleverantören Symantec fungerar inte koden alltid korrekt, men den kan användas för att installera obehörig programvara på offrets dator.

"Symantec har utfört ytterligare test och bekräftat att det påverkar Internet Explorer version 6 och 7," företaget skrev på sin webbplats lördag. "Vi förväntar oss att ett fullt fungerande tillförlitligt utnyttjande kommer att finnas tillgängligt inom en snar framtid."

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Säkerhetskonsult Vupen Security har också bekräftat att attacken fungerar, säger att det fungerade på ett Windows XP Service Pack 3-system som kör IE 6 eller IE7. Varken företag kunde bekräfta att attacken fungerade på Microsofts senaste webbläsare, IE 8.

Symantec rapporterade inte att attacken används av cyberkriminella, men eftersom Internet Explorer är så populär är den här typen av kod mycket eftertraktade av hackare. Om mjukvaran dyker upp i attacker på nätet, kommer det att lägga påtryck på Microsoft för att rusa ut en nödlatch, före sin regelbundna 8 december säkerhetsuppdatering. Microsoft kunde inte nås lördag för en kommentar om problemet.

Sammanlagt kommunicerar IE 6 och IE 7 nära 40 procent av webbläsarmarknaden.

Felet ligger i hur Internet Explorer hämtar viss Cascading Style Sheet (CSS) objekt som används för att skapa en standardiserad layout på webbsidor. För attacken på jobbet måste hackaren locka ett offer till en webbsida som innehöll skadligt kodade JavaScript, sa Symantec. Denna teknik har uppstått som ett favorit sätt för hackare att installera sin skadliga programvara på datorer de senaste åren.

"För att minimera risken att drabbas av detta problem bör Internet Explorer-användare se till att deras antivirusdefinitioner är aktuella, inaktivera JavaScript och bara besöka webbplatser de litar på tills korrigeringar är tillgängliga från Microsoft, säger Symantec.