Microsoftin korjaus aiheuttikin pahan turva-aukon
4
Microsoftin uusin sähläys tämän kuun tietoturvapäivitysten kanssa osoittaa miten monimutkaista aukkojen korjaus voi olla. MS06-042-päivitys korjaa aiempia virheitä, mutta avaa tietyissä Windows XP -koneissa pahan reiän, jolla koneen voisi saada täysin haltuunsa.
Ongelma esiintyy onneksi vain Windows XP -koneissa, jotka ovat service pack 1 -päivitystasolla, ja joissa on Internet Explorer 6 -nettiselain. Päivitys MS06-042 korjaa kahdeksan selaimen aukkoa, mutta avaa yhden uuden lisää.
Virhe liittyy Exlorerin tapaan käsitellä pitkiä web-osoitteita. Korjauksen asentamisen jälkeen Explorer-selain on haavoittuvainen sopivasti muotoilluille web-sivuille, jonne hyökkääjä voisi uhrin houkutella. Uusi aukko on kriittinen, eli hyökkääjä voi saada sen kautta koneen täydelleen hallintaansa.
Service pack 2 -päivitys kannattaa
Microsoftilla ei ole tiedossa, että kukaan olisi yrittänyt käyttää tätä haavoittuvuutta hyökkäyksissä. Ongelma pantiin merkille jo aiemmin, mutta ensin luultiin, että Explorer voi tietyissä olosuhteissa vain kaatua. Sitten kuitenkin todettiin, että kyseessä onkin vaarallinen turva-aukko.
Microsoft kertoo tutkivansa asiaa. Siitä milloin ongelmaan saadaan korjaus, ei ole vielä tietoa. Microsoft kannustaa pitämään MS06-042-päivityksen asennettuna, sillä se korjaa yhteensä kahdeksan turva-aukkoa. Uudesta ongelmasta voi päästä eroon kääntämällä selaimen asetuksista pois päältä http:n version 1.1 -tuen.
Valtaosa Microsoftin tässä kuussa ilmoittamista turva-ongelmista ja päivitysten ongelmista ei ole koskenut Windows XP -koneita, joihin on asennettu tietoturvaan keskittynyt service pack 2 -päivitys. Eli uusimmalla päivitystasolla olevat koneet ovat olleet varsin hyvin suojassa.
