Nollapäivähaavoittuvuus (CVE-2019-1367) Microsoftin Internet Explorer -selaimissa
Haavoittuvuus16/2019
Microsoft julkaisi normaalin päivityssyklin ulkopuolella päivityksen Internet Explorerin (IE) skriptit suorittavasta osasta (scripting engine) löytyneeseen etäkäytön mahdollistavaan haavoittuvuuteen (RCE). Haavoittuvuutta käytetään maailmalla hyväksi.
Hyökkäyksessä hyökkääjä houkuttelee haavoittuvaa selainta käyttävän uhrin luomalleen haitalliselle verkkosivustolle.
Haavoittuvuuden avulla hyökkääjä voi syöttää omaa haitallista koodia IE-selaimen skriptejä suorittavalle osalle ja suorittaa sen selaimen käyttäjän oikeuksilla.
Tällöin hyökkääjä voi saada kyseisen käyttäjän käyttöoikeudet. Mikäli uhri käyttää esimerkiksi haavoittuvaa IE-selainta pääkäyttäjänä, haavoittuvuutta onnistuneesti hyväksikäyttänyt hyökkääjä saa samat oikeudet.
Lisää tietoa löytyy Microsoftin haavoittuvuus- (Ulkoinen linkki) ja päivitystiedotteista (Ulkoinen linkki).
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Internet Explorer -selaimen versiot 9, 10 ja 11.
Mistä on kysymys?
Päivitys tapahtuu seuraamalla Microsoftin ohjeita ja linkkejä ja asentamalla oikeat paketit manuaalisesti.
Mikäli päivitystä ei voi jostain syystä tehdä, on syytä harkita vakavasti toisten selaimien käyttöä.
Haavoittuvuuden hyväksikäyttöä voi rajoittaa käytännössä vain välttämällä haitallisilla verkkosivuilla vierailuja haavoittuvilla IE-selaimen versioilla.