[vc_row][vc_column width=”2/3″][vc_wp_text]

[xyz-ips snippet=”metadatatitle”]

 

[/vc_wp_text][/vc_column][vc_column width=”1/3″][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]

A Microsoft egy soron kívüli biztonsági frissítést adott ki az Internet Explorerhez, amelynek telepítésével kritikus veszélyességű sebezhetőségektől lehet megszabadítani a webböngészőt.

A Microsoft szeptember 17-én egy biztonsági tájékoztató keretében ismerte el, hogy az Internet Explorer egy súlyos sérülékenységet rejt. A kockázatokat jelentősen fokozta, hogy a hiba kihasználásához szükséges kódok elérhetővé váltak az interneten, és egyre nagyobb volt annak a valószínűsége, hogy a napvilágra került információkat a kiberbűnözés szélesebb körben is felhasználja a károkozásai során.

A cég a múlt héten kiadott egy Fix it segédeszközt, amelynek révén átmenetileg lehetett orvosolni a problémákat, emellett közölte, hogy az EMET (Enhanced Mitigation Experience Toolkit) megoldása is segítséget nyújt a kockázatok csökkentésében. Azonban a Microsoft is pontosan tisztában volt azzal, hogy valódi megoldást csak az Internet Explorer frissítése jelenthet, ezért úgy határozott, hogy egy soron kívüli javítással foltozza be a biztonsági rést. Ezt pénteken meg is tette.

Folyamatosan nőtt a nyomás

A múlt héten az Internet Explorer nulladik napi sebezhetőségének hírére egyes biztonsági szervezetek az Internet Explorer használatának mellőzését javasolták a frissítések megjelenéséig. Így tett például a német BSI (Federal Office for Information Security) is, amely alternatív webböngészők igénybevételére buzdított. A BSI történetében egyébként nem ez volt az első ilyen eset, ugyanis a szervezet – a francia kormánnyal egyetemben – már 2010-ben is adott ki hasonló tartalmú ajánlást szintén egy Internet Explorer sebezhetőség miatt.

A Microsoft az MS12-063-as számú közleményében nemcsak a múlt héten nagy port kavart (execCommand) sérülékenységről számolt be, hanem további négy biztonsági hibáról is lerántotta a leplet. Jelezte, hogy a sebezhetőségek az Internet Explorer 6-os, 7-es, 8-as és 9-es verzióit is érintik. A legújabb – Windows 8-ban is megtalálható – 10-es kiadás esetében azonban nem léteznek ezek a sebezhetőségek. A hibák a Windows XP, a Windows Vista és a Windows 7 kapcsán kritikus veszélyességű besorolást kaptak, míg a szerver operációs rendszerek esetében kevésbé számítanak kockázatosnak.

A biztonsági közlemény szerint az Internet Explorer szóban forgó sebezhetőségei speciálisan szerkesztett weboldalak révén válhatnak kihasználhatóvá. Amennyiben a felhasználó az érintett böngészőverziók valamelyikével nyit meg egy ilyen weblapot, akkor a támadóknak jogosulatlan távoli kódfuttatásra nyílhat lehetőségük. A cég hangsúlyozta, hogy a hibák fokozott veszélyt jelentenek akkor, ha a felhasználó rendszergazdai jogosultságok mellett futtatja az Internet Explorert.

Már korábban kész volt a javítás?

[image img=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/microsoft_4.jpg” url=”https://betahu.blackcell.hu/wp-content/uploads/2013/03/microsoft_4.jpg” align=”center”/]

Andrew Storms, az nCircle Security műszaki igazgatója a Microsoft soron kívül kiadott biztonsági közleménye kapcsán egyrészt elismerősen, másrészt némileg kétkedően nyilatkozott. Először hangsúlyozta, hogy a Microsoft most jó munkát végzett abból a szempontból, hogy az első tájékoztató kiadását követő öt napon belül megszüntette a kockázatos hibát, és kiadta a szükséges frissítéseket. Ugyanakkor felvetette annak a lehetőségét, hogy a sebezhetőségről a Microsoft már korábban tudott, sőt az is lehet, hogy a hibajavítás már készen volt. Ezt nemcsak az támasztja alá, hogy öt nap alatt igen nehéz elkészíteni és megfelelően tesztelni egy patch-et, hanem az is ezt a feltételezést erősíti, hogy az Internet Explorer 10-es verziójában a biztonsági rés vagy rések már nem jelentettek problémát. A szakember szerint elképzelhető, hogy a mostani frissítés az október 9-i hibajavító keddre már elő volt készítve.

Idén ez volt az első

A Microsoft idén először adott ki soron kívüli hibajavítást. 2010 szeptembere óta ez volt a második alkalom, amikor előre nem tervezett módon jelent meg biztonsági frissítés. Az Internet Explorerhez pedig legutóbb 2010 januárjában vált elérhetővé soron kívüli patch, amikor az Aurora trójai által kihasznált sebezhetőséget kellett sürgősséggel orvosolnia a fejlesztőknek.

A hibajavítások az automatikus frissítési szolgáltatások segítségével telepíthetők, vagy a Microsoft weboldalairól tölthetők le.

Forrás:biztonsagportal.hu

Kristóf Csaba

[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_wp_text][xyz-ips snippet=”metadatatime”]

[/vc_wp_text][/vc_column][/vc_row]

Pin It on Pinterest