Unpatched Microsoft Fail Leaves IE6 i Risk

En sårbarhet i Microsoft-programvaran, som ännu inte levereras, utgör ett allvarligare hot mot användare av Internet Explorer 6 än de som finns i nästa version av webbläsaren, har säkerhetsleverantören Symantec varnat.

Felet i Microsofts Access-databasprogramvara kom fram precis som Microsoft utfärdade sina patchar för månaden den 8 juli. Problemet ligger inom ActiveX-kontrollen för Snapshot Viewer, vilket gör att någon kan se en åtkomstrapport utan att starta programvaran.

Attackers utnyttjar aktivt sårbarheten genom att antingen skapa webbsidor eller hacka befintliga webbsidor för att vara värd för attacken. Hackarna lockar folk till sidorna via skräppost eller ett direktmeddelande.

Internet Explorer 7 kommer att uppmana användare innan du laddar ner en viss ActiveX-kontroll för första gången. Men Internet Explorer 6 kommer automatiskt ladda ner kontrollen eftersom den digitalt är signerad av Microsoft, säger Symantec i sin rådgivande version.

När ActiveX-kontrollen laddas ner kan felet låta angriparen ta över en dator.

Symantec rekommenderar administratörer att ställa in tre "kill bits" för ActiveX-kontrollen, en Microsoft-lösning för att förhindra att en ActiveX-kontroll körs i Internet Explorer.

Microsoft har hittills inte sagt när den planerar att släppa en fix. Företagets nästa patchrunda är schemalagd till 12 augusti.

Symantec sa förra månaden att kriminella författare hade inkluderat ett utnyttjande för Snapshot viewer-sårbarheten i Neosploit, en verktygslåda som låter hackare köra en handfull exploits på en dator för att se om det har en oöverträffad sårbarhet. Men i förra veckan visade det sig att de cyberkriminella som skapade Neosploit hade slutat sälja det, kanske för att det var priset - upp till US $ 3000 - var för högt och efterfrågan minskade.