Nollapäivähaavoittuvuus (CVE-2019-1367) Microsoftin Internet Explorer -selaimissa

Haavoittuvuus16/2019

Microsoft julkaisi normaalin päivityssyklin ulkopuolella päivityksen Internet Explorerin (IE) skriptit suorittavasta osasta (scripting engine) löytyneeseen etäkäytön mahdollistavaan haavoittuvuuteen (RCE). Haavoittuvuutta käytetään maailmalla hyväksi.

Hyökkäyksessä hyökkääjä houkuttelee haavoittuvaa selainta käyttävän uhrin luomalleen haitalliselle verkkosivustolle.

Haavoittuvuuden avulla hyökkääjä voi syöttää omaa haitallista koodia IE-selaimen skriptejä suorittavalle osalle ja suorittaa sen selaimen käyttäjän oikeuksilla.

Tällöin hyökkääjä voi saada kyseisen käyttäjän käyttöoikeudet. Mikäli uhri käyttää esimerkiksi haavoittuvaa IE-selainta pääkäyttäjänä, haavoittuvuutta onnistuneesti hyväksikäyttänyt hyökkääjä saa samat oikeudet.

Lisää tietoa  löytyy Microsoftin haavoittuvuus- (Ulkoinen linkki) ja päivitystiedotteista (Ulkoinen linkki).

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Internet Explorer -selaimen versiot 9, 10 ja 11.

Ratkaisu- ja rajoitusmahdollisuudet

Päivitys tapahtuu seuraamalla Microsoftin ohjeita ja linkkejä ja asentamalla oikeat paketit manuaalisesti.

Mikäli päivitystä ei voi jostain syystä tehdä, on syytä harkita vakavasti toisten selaimien käyttöä.

Haavoittuvuuden hyväksikäyttöä voi rajoittaa käytännössä vain välttämällä haitallisilla verkkosivuilla vierailuja haavoittuvilla IE-selaimen versioilla.