Phenquestions
Spoločnosť Microsoft dnes zverejnila nový bulletin o zabezpečení mimo pásma, ktorý informuje o novo zistenej kritickej chybe zabezpečenia vo webovom prehliadači spoločnosti Internet Explorer.
Zraniteľnosť, ktorá sa podľa spoločnosti už vo voľnej prírode využíva, ovplyvňuje program Internet Explorer 7 až 11 v operačných systémoch klienta a servera. Microsoft Edge, predvolený webový prehliadač Windows 10, nie je uvedený na stránke, a teda nie je ovplyvnený chybou zabezpečenia.
Zraniteľnosť je hodnotená ako kritická pre všetky klientske operačné systémy a mierna pre všetky serverové operačné systémy spoločnosti.
Spoločnosť Microsoft vydala opravy pre všetky ovplyvnené (a podporované) verzie systému Windows. Tieto opravy sú už k dispozícii prostredníctvom služby Windows Update a prostredníctvom Centra sťahovania softvéru spoločnosti Microsoft.
Aktualizácia je uvedená ako „Kumulatívna aktualizácia pre Windows 10 (KB3081444)“ pre systémy Windows 10 a je uvedená v kóde KB3087985 v predchádzajúcich verziách systému Windows. Aktualizácia KB3078071 je nevyhnutným predpokladom pre túto aktualizáciu v systéme Windows 8.1 a 7 a Windows Server 2008 R2 a 2012 R2.
Útočníci môžu zraniteľnosť zneužiť rôznymi spôsobmi, napríklad vytvorením webových stránok, ktoré túto slabú stránku zneužijú, e-maily vo formáte HTML alebo webovou reklamou. Na spustenie tejto chyby zabezpečenia je potrebné iba to, aby sa tento obsah načítal v ovplyvnenej verzii prehľadávača Internet Explorer, okrem toho sa nevyžaduje interakcia s webom.
Útočníci získavajú rovnaké práva ako aktuálny používateľ v systéme. Ak má prihlásený používateľ oprávnenie správcu, je možné úplné prevzatie systému, pretože by to útočníkovi umožnilo meniť nastavenia systému, vytvárať alebo upravovať používateľské účty, inštalovať alebo odstraňovať softvér atď.
Spoločnosť Microsoft v bezpečnostnom upozornení uvádza dva poľahčujúce faktory. Úroveň prihláseného používateľa, ktorá nie je správcom, môže mať vplyv na systém. Microsoft EMET, spoločnosť Enhanced Mitigation Experience Toolkit, navyše pomáha zmierniť útok podľa spoločnosti Microsoft za predpokladu, že je správne nakonfigurovaný na prácu s webovým prehliadačom Internet Explorer.
Odkazy na stiahnutie pre všetky podporované operačné systémy sú uvedené na stránke bulletinu zabezpečenia na webovej stránke spoločnosti Microsoft. Ak chcete aktualizáciu prevziať manuálne, vyhľadajte nainštalovanú verziu programu Internet Explorer pod príslušným softvérom a kliknite na odkaz vedľa operačného systému, na ktorom je počítač spustený.
Toto je druhá núdzová oprava vydaná za posledných pár týždňov. Spoločnosť Microsoft vydala koncom júla bulletin MS15-078 pre všetky podporované operačné systémy, ktorý rieši kritickú chybu zabezpečenia v ovládači písma Microsoft.
