Explorer-hyökkäyksiin väliaikainen korjauspäivitys
0
Internet Explorerin paikkaamattomaan aukkoon hyökätään internetissä koko ajan, joten tietoturvayhtiö Eeye on rakentanut väliaikaisen korjauksen. Nollapäivähyökkäyksien estämiseen suositellaan kuitenkin jompaakumpaa Microsoftin kahdesta kiertoratkaisusta (ohjeet uutisen lopussa).
Uusin Explorerin createTextRange() -turvaongelma muistuttaa yhä enemmän wmf-kuvatiedostoaukon aiheuttamaa soppaa, johon myös tarjottiin yksityisesti tehtyä väliaikaista korjausta. Tietoturvatahot kehottivat silloin käyttämään kyseistä epävirallista päivitystä. Tietoturvayhtiö Eeye kertoo rakentaneensa väliaikaisen korjauksen lähinnä asiakkailleen, jotka eivät ole ehtineet ottaa käyttöön yhtiön tunkeutumisen estojärjestelmää. Korjauspäivitys on kuitenkin laitettu myös yleiseen jakeluun.
"Suosikaa Microsoftin virallista kiertoratkaisua"
Tällä kertaa käyttäjiä ei patisteta käyttämään epävirallista korjausta. Eeye kehottaa itsekin suosimaan Microsoftin virallisia kiertotapoja, joita on kaksi.
Samaa suosittelee Microsoft. Yhtiö ei ole mitenkään testannut Eeyen korjausta, joten se ei voi sitä suositella. Käyttäjien tulisi harkita päivityksen järjestelmälle mahdollisesti aiheuttaa riskiä. Microsoft pystyy itsekin kehittämään päivitykset yleensä nopeasti. Valtaosa ajasta kuluu kuitenkin tarkkaan testaukseen, jolla pyritään varmistumaan ettei päivitys hajottaisi mitään toimintoja tai ohjelmia missään niistä sadoista miljoonista tietokoneista, joissa Windowsia käytetään ympäri maailman.
Microsoftilla kaksi väliaikaista korjaustapaa
Microsoft neuvoo tietoturvatiedotteessaan kaksi väliaikaista tapaa korjata ongelma.
Ensimmäisessä ja varmemmassa Explorerin active scripting -tekniikka kytketään kokonaan pois päältä. Toisessa selaimen tietoturva-asetukset nostetaan korkeimpaan asentoon, jolloin active scripting -koodia ei ajeta, ennen kuin käyttäjältä on kysytty lupa.
Active scripting kytketään pois päältä näin:
1. In Internet Explorer, click Internet Options on the Tools menu.
2. Click the Security tab.
3. Click Internet, and then click Custom Level.
4. Under Settings, in the Scripting section, under Active Scripting, click Prompt or Disable, and then click OK.
5. Click Local intranet, and then click Custom Level.
6. Under Settings, in the Scripting section, under Active Scripting, click Prompt or Disable, and then click OK.
7. Click OK two times to return to Internet Explorer.
Explorerin tietoturva nostetaan tasolle korkea näin:
1. On the Internet Explorer Tools menu, click Internet Options.
2. In the Internet Options dialog box, click the Security tab, and then click the Internet icon.
3. Under Security level for this zone, move the slider to High. This sets the security level for all Web sites you visit to High.
