Tietoturva

IE:n aukko antaa hyökkääjälle vapaat kädet

Julkaistu:

Internet Explorer -selaimen vakavaan haavoittuvuuteen on laadittu hyödyntämismenetelmä, joka avaa hyökkääjälle komentokehotteen. Microsoft varoitti aukosta perjantaina. Päivitystä ei ole saatavilla.
Microsoft vahvisti haavoittuvuuden olemassaolon perjantain vastaisena yönä. Yhtiö myönsi jo tuolloin, että komentojen suorittaminen voi onnistua aukon avulla, vaikka sitä ei oltukaan vielä todistettu.

Ranskalainen tietoturvayhtiö FrSIRT esitteli todisteet viikonloppuna. Yhtiö julkaisi lauantaina hyödyntämismenetelmän, joka avaa hyökkääjälle komentokehotteen porttiin 28876. Haavoittuvuutta voi näin käyttää esimerkiksi haittaohjelmien asentamiseen www-sivuilta. Hyökkääjä saa kirjautuneen käyttäjän oikeudet.

Internet Storm Centerin päivystäjä Jim Clausing arveli lauantaina, että aukoa hyödynnetään vielä lähiaikoina erittäin aktiivisesti.

Microsoftin neuvojen mukaan suojatuminen onnistuu nostamalla Internet- ja Local Intranet -vyöhykkeiden turvallisuustasot korkeaksi (High). Yhtiö päivitti varoitustaan lauantaina useilla uusilla kiertokonsteilla, joista yksi on jopa poistaa MS Java Virtual Machine kokonaan koneelta.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Paras keino suojautua on tietenkin käyttää toista selainta, kunnes Microsoft julkaisee päivityksen.

Seuraavaan päivityspäivään on vielä yli viikko aikaa; tosin IE:n vakavia aukkoja on ennenkin tukittu normaalin päivitysrytmin ulkopuolella.

Kommentit

    Näytä lisää