Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Kriittinen nollapäivähaavoittuvuus Internet Explorerissa (CVE-2020-0674)

Haavoittuvuus1/2020

Microsoft on julkaissut tiedotteen kriittisestä haavoittuvuudesta, joka koskee Internet Explorer selaimen skriptit suorittavaa komponenttia (scripting engine). Haavoittuvuudelle ei ole päivitystä. Haavoittuvuuden avulla hyökkääjä voi suorittaa haitallista koodia kohdejärjestelmässä käyttäjän oikeuksin. Haavoittuvuutta käytetään maailmalla hyväksi.

Hyökkäyksessä hyökkääjä houkuttelee haavoittuvaa selainta käyttävän uhrin luomalleen haitalliselle verkkosivustolle.

Haavoittuvuuden avulla hyökkääjä voi syöttää omaa haitallista koodia Internet Explorer -selaimen skriptejä suorittavalle osalle, jolloin haitallinen koodi suoritetaan selaimen käyttäjän oikeuksilla.

Onnistuessaan hyökkääjä voi saada kyseisen käyttäjän käyttöoikeudet. Mikäli uhri käyttää esimerkiksi haavoittuvaa IE-selainta pääkäyttäjänä, haavoittuvuutta onnistuneesti hyväksikäyttänyt hyökkääjä saa samat oikeudet.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Ongelman rajoittaminen

Haavoittuvat ohjelmistot

Ratkaisu- ja rajoitusmahdollisuudet

Lisätietoja

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001 (Ulkoinen linkki)

https://kb.cert.org/vuls/id/338824/ (Ulkoinen linkki)

CVE-2020-0674 (Ulkoinen linkki)