Kriittinen nollapäivähaavoittuvuus Internet Explorerissa (CVE-2020-0674)
Haavoittuvuus1/2020
Microsoft on julkaissut tiedotteen kriittisestä haavoittuvuudesta, joka koskee Internet Explorer selaimen skriptit suorittavaa komponenttia (scripting engine). Haavoittuvuudelle ei ole päivitystä. Haavoittuvuuden avulla hyökkääjä voi suorittaa haitallista koodia kohdejärjestelmässä käyttäjän oikeuksin. Haavoittuvuutta käytetään maailmalla hyväksi.
Hyökkäyksessä hyökkääjä houkuttelee haavoittuvaa selainta käyttävän uhrin luomalleen haitalliselle verkkosivustolle.
Haavoittuvuuden avulla hyökkääjä voi syöttää omaa haitallista koodia Internet Explorer -selaimen skriptejä suorittavalle osalle, jolloin haitallinen koodi suoritetaan selaimen käyttäjän oikeuksilla.
Onnistuessaan hyökkääjä voi saada kyseisen käyttäjän käyttöoikeudet. Mikäli uhri käyttää esimerkiksi haavoittuvaa IE-selainta pääkäyttäjänä, haavoittuvuutta onnistuneesti hyväksikäyttänyt hyökkääjä saa samat oikeudet.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Ongelman rajoittaminen
Haavoittuvat ohjelmistot
- Internet Explorer -selaimen versiot 9, 10 ja 11.
- Tarkemmat versiotiedot haavoittuvasta selaimesta eri käyttöjärjestelmäversioilla löytyy Microsoftin haavoittuvuustiedotteesta: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001 (Ulkoinen linkki)
Ratkaisu- ja rajoitusmahdollisuudet
- Lue tarkempia ohjeita rajoittavista toimenpiteistä Microsoftin tiedotteesta: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001 (Ulkoinen linkki)
- Käytä vaihtoehtoisia selaimia, kunnes haavoittuvuudelle on saatavilla päivitys ja päivitys on asennettu.