Microsoft kertoo korjanneensa Iframe-haavoittuvuuden
0
Microsoft on julkistanut korjauksen Internet Explorerin Iframe-haavoittuvuudelle. Korjaus on saatavilla Windows Update -sivuston tai Windows-käyttöjärjestelmän automaattisen päivitystoiminnon avulla. Microsoft suosittelee, että selainkorjaus asennetaan mahdollisimman nopeasti Windows-koneisiin, joissa käytetään jotain muuta käyttöjärjestelmää kuin XP:tä ja selaimena on IE:n kuutosversio.
Microsoft sanoo, että haavoittuvuus koskee ainoastaan Internet Explorer -selaimen versiota 6, eikä uhkaa Windows XP -käyttöjärjestelmällä varustettuja tietokoneita, joihin on asennettu aiemmin syksyllä julkistettu SP2-päivityspaketti. Siksi se suositteleekin, että kaikki XP-koneet päivitetään mahdollisimman pian SP2-päivityksellä. Tärkeimpien tietoturvauhkien ennaltaehkäisemisen lisäksi SP2 parantaa myös erilaisten tietoturva-asetusten hallintaa.
"Tavalliselle käyttäjälle helpoin tapa asentaa tämä korjaus, ja muutenkin varmistaa, että käyttöjärjestelmään on asennettu kaikki viimeisimmät tietoturvakorjaukset, on käyttää Windowsin automaattista päivitystoimintoa", Microsoftin tietoturvajohtaja Kimmo Bergius kertoo. "Lisäksi täytyy muistaa myös käyttää palomuuria sekä varmistaa, että koneeseen on asennettu virustorjuntaohjelmisto ja että se on ajan tasalla."
Puskurivuoto uhan ytimenä
Korjattu haavoittuvuus on tiettyjen html-elementtien (Iframe, Frame ja Embed) sisältämien attribuuttien käsittelyyn liittyvä puskuriylivuoto. Hyökkääjä voi haavoittuvuutta hyväkseen käyttämällä suorittaa omia komentojaan kohdejärjestelmässä. Haavoittuvuuteen on julkisesti saatavilla hyödyntämismenetelmiä.
Haavoittuvuutta on hyväksikäytetty viime aikoina laajasti eri menetelmiä soveltamalla, muun muassa web-sivujen mainosbannereiden kautta. Myös Bofra-sähköpostimato on käyttänyt haavoittuvuutta leviämisessään.
