Varo: Edgestä ja Internet Explorerista tuli juuri vaarallisia

Julkaistu:

Haavoittuvuudet
Edgessä ja Internet Explorerissa on vakava ja korjaamaton haavoittuvuus, jonka yksityiskohdat ovat nyt julkista tietoa.
Microsoftin Edge- ja Internet Explorer -selaimissa on paikkaamaton haavoittuvuus, jolla voi aiheuttaa paljon vahinkoa uhrille. Asiasta kertoo The Hacker News, jota Traficomin Kyberturvallisuuskeskus lainaa.

Aukon löysi tietoturvatutkija James Lee. Hänen mukaansa ongelma piilee selainten toiminnossa nimeltä Same Origin Policy. Normaalisti sen tarkoitus on estää toisiinsa liittymättömiä verkkosivuja olemaan vuorovaikutuksessa keskenään. Aukon avulla tämä on kuitenkin mahdollista.

Käytännössä hyökkääjä houkuttelisi uhrin ensin vaaralliselle verkkosivulle. Sitten hän voisi hakea sisältöä miltä tahansa sivulta, jolla uhri on aiemmin vieraillut haavoittuvalla selaimella. Lisäksi hyökkääjä voisi asettaa toiselle verkkosivulle haitallista koodia käyttäjän huomaamatta.

Seuraukset voivat olla vakavia. Vaarana on esimerkiksi käyttäjätunnuksien ja salasanojen menettäminen, kirjautuneen session haltuunottaminen ja altistuminen haittaohjelmille.
Lee julkaisi aukkoon myös hyökkäyskoodin. Toimiaan hän perustelee sillä, että Microsoft jätti vastaamatta, kun hän kertoi yhtiölle aukosta kymmenen kuukautta sitten.

Ei ole tiedossa, miten nopeasti Microsoft korjaa haavoittuvuuden. On sen sijaan erittäin todennäköistä, että verkkorikolliset tarttuvat Leen tarjoamiin valmiisiin aseisiin nopeasti. Haavoittuvuudelta voi toistaiseksi suojautua yksinkertaisesti käyttämällä jotakin toista selainta, kuten Firefoxia, Vivaldia tai Chromea.

Edgen käyttö ei ole tilastojen valossa järin yleistä, mutta selain on joka tapauksessa osa Windows 10 -käyttöjärjestelmää. Lee vihjasi Twitterissä, että hänellä on hihassaan vielä useita muita haavoittuvuuksia, joihin Microsoft ei myöskään ole reagoinut.
Vanhentunutta Internet Exploreria käytetään edelleen jonkin verran, vaikka Microsoft on selkeästi viestittänyt, että selaimesta tulisi luopua. Syynä on se, että monissa yrityksissä käytetään järjestelmiä, jotka toimivat vain IE:llä.
Myös Edge on saamassa suurremontin lähiaikoina. Microsoft hylkää selaimen konepeliin alla olevan nykyisen tekniikan ja siirtyy käyttämään Chromesta tuttua Chromium-selainmoottoria. Uusittu Edge on jo suljetussa testikäytössä.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt