Szerző: Hlács Ferenc

2018. december 20. 13:30

Kritikus biztonsági rést foltozott a Microsoft az Internet Explorerben

A sebezhetőséggel támadók akár rendszergazdai jogosultságokat is szerezhettek. A hibát a Google jelezte a Microsoftnak, amely gyorsan javította is azt.

Soron kívüli javítást adott ki a Microsoft, a patch egy frissen talált, kritikus Internet Explorer sebezhetőséget foltoz, amelyet támadók már aktívan ki is használnak - érdemes tehát haladéktalanul telepíteni a legújabb elérhető biztonsági frissítéseket.

A CVE-2018-8653 kódszámú sérülékenység a böngésző scriptmotorjának memóriakezelését érinti, amelyet kihasználva illetéktelenek tetszőleges kódot futtathatnak a sebezhető eszközön. A memóriakorrupciós hibát kihasználók az éppen bejelentkezett, aktív felhasználóénak megfelelő jogosultságokat szerezhetnek a támadott rendszeren - egy rendszergazda esetében tehát teljes mértékben át is vehetik az adott eszköz felett az irányítást, tetszőleges szoftvereket telepíthetnek, illetve érzékeny adatokat szerezhetnek meg vagy épp törölhetnek. A hiba kihasználásához a támadóknak egy preparált weboldal meglátogatására kell rávenniük a felhasználót, ezt követően pedig akár rendszergazdai jogosultságokat is szerezhetnek annak számítógépén. További részleteket a cég egyelőre nem közölt a sérülékenység kapcsán.

mshqq2

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

A redmondi óriás blogposztja szerint egyébként a Google jelezte számára a hibát, amire gyorsan ki is adta a javítást - amit a posztban a vállalat meg is köszön a keresőóriásnak, egész pontosan Clement Lecigne biztonsági szakértőnek a cég Threat Analysis Group csapatából. A Google jelentéséből azonban az is kiderült, hogy a sebezhetőséget már aktívan kihasználták célzott támadásokhoz, noha annak kapcsán nem ment részletekbe a Microsoft, hogy pontosan hány ilyen esetről szerzett tudomást.

A Microsoft szerint akiknél az automatikus Windows Update funkció aktív, és telepítették a legújabb biztonsági frissítéseket, már védelmet élveznek a sebezhetőségek ellen. A cég egyébként mindenkinek az automatikus frissítések bekapcsolását javasolja, illetve az új javítások azonnali telepítését akkor is, ha egyébként nem használják rendszeresen az Internet Explorert online böngészésre. A hiba jelentősége már csak azért sem elhanyagolható, mert az Internet Explorer még mindig a második legszélesebb körben használt asztali böngésző, a NetMarketshare adatai szerint 11,19 százalékos részesedéssel. Ezzel az Internet Explorer, ha messze el is marad az első helyet jelenleg 63,6 százalékkal uraló Chrome-tól, megelőzi a 10 százalékon álló Firefoxot, a Microsoft másik böngészőjét, a 4,3 százalékon álló Edge-et pedig le is körözi - utóbbi egyébként rövidesen Chromium alapokra kerül át, amitől a Microsoft a felhasználószámban is fellendülést remél.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról