Taas uutta tietoa IE:n käyttäjille.
TIETOTURVA Henri Laakso
Windowsissa vakava uusi turva-aukko - älä käytä Internet Exploreria
Ohjelmistojätti Microsoft varoittaa käyttäjiä uudesta turva-aukosta, joka löytyy kaikista tuetuista Windows-versioista.
Yhtiö suosittelee käyttäjiä hankkimaan väliaikaisen tietoturvapäivityks en Windowsiin.
Turva-aukko johtuu Windowsin tavasta prosessoida verkkosivut, jotka sisältävät mime-muotoiltua sisältöä (multipurpose internet mail extensions). Hyökkääjät pystyvät muun muassa hyödyntämään aukkoa suorittaakseen haitallisia komentosarjoja sekä varastamaan käyttäjien tietoja.
”Hyökkääjä voisi teeskennellä aukon avulla olevansa käyttäjä ja lähettää käyttäjän nimissä esimerkiksi sähköpostia”, kirjoittaa Microsoftin turvallisuustiedott aja Angela Gunn yhtiön blogissa. ”Turva-aukon avulla voisi myös kerätä käyttäjien tietoja”, Gunn lisää.
Internet Explorer -käyttäjät suurimmassa vaarassa
Aukkoa hyödyntävä hyökkäys voidaan tiettävästi tehdä vain Internet Explorer -selaimen kautta. Tietoturvayhtiö Qualsysin teknologiajohtaja Wolfgang Kandek huomauttaakin Network Worldille, että IE:n käyttäjät ovat suurimmassa vaarassa:
”Vaikka turva-aukko sijaitsee Windowsissa, on Internet Explorer ainoa tunnettu hyökkäyksen mahdollistava selain”, Kandek sanoo.
”Oletusasetuksilla oleviin Firefoxiin ja Chromeen aukko ei vaikuta, koska ne eivät tue mhtml:ää ilman erityistä lisäosaa”, jatkaa Kandek.
Microsoft tutkii vielä - korjaa myöhemmin
Microsoftin tietoturvaryhmä tutkii vielä kyseistä aukkoa ja sanoo ryhtyvänsä tarvittaviin toimiin, kun tutkimukset on saatu valmiiksi. Sillä välin yritys neuvoo, että Windows-käyttäjät voivat asentaa väliaikaisen paikan estääkseen mahdolliset hyökkäykset.
Useimpien käyttäjien on kuitenkin helpompaa vain käyttää vaihtoehtoista selainta, koska IE on ainoa tunnettu aukon hyödyntämistapa.
Sekä Windows XP, Vista että Windows 7 sisältävät turva-aukon. Tämän takia kunnollisen korjauksen saapuminen viekin luultavasti aikaa.
Tietoturvayhtiö nCircle Securityn turvallisuusjohtaja Andrew Storms epäilee Network Worldille, että korjausta turva-aukkoon ei tule ihan lähiaikoina.
”Jos kyseessä olisi vain IE:stä löytyvä aukko, voisi korjauksen saada jo ensi viikolla. Mutta tämä turva-aukko on Windowsissa ja siksi korjauksen tekeminen kestää Microsoftilta kauemmin”, Storms sanoo.