Taas uusi kriittinen hyökkäys Windowsiin
0
Windowsia vastaan on julkaistu internetissä taas uusi kriittinen turva-aukko, ja siihen valmista hyökkäyskoodia, varoittaa Microsoft. Korjausta joudutaan yhtiön mukaan näillä näkymin odottamaan vajaat kaksi viikkoa, mutta riskiä voi pienentää niin sanotulla kill bit -tekniikalla.
Microsoftin mukaan Windowsin Shell-osiosta on löytynyt uusi ongelma, joka mahdollistaa hyökkäyksen web-sivuilta sopivalla Activex-ohjelmapalasella. Microsoft uusi varoitus julkaistiin Security Advisoryn -numerolla 926043 (varoitus myös suomeksi).
Haavoittuvuus koskee Windowsin Shellissä olevaa vikaa, jota voidaan hyödyntää selaimen välityksellä käyttämällä WebViewFolderIcon Activex-komponenttia. Microsoftin mukaan korjaus haavoittuvuuteen on tekeillä ja se julkistetaan näillä näkymin lokakuun 10. päivä normaalin julkaisuaikataulun mukaisesti.
Riskiä voi pienentää kill bit -tekniikalla
Mitä tällä hetkellä voidaan tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? Microsoftin mukaan englanninkielisessä Security Advisoryssa on kerrottu useitakin keinoja, joilla riskiä voi pienentää. Niistä tärkein on niin sanotun kill bitin asettaminen tilapäisesti tuolle komponentille, jolloin sitä ei voi enää käyttää Internet Explorerin kautta.
Lisätietoja löytyy Advisorysta ja Knowledge Base -artikkelista 240797. Microsoftin mukaan on kuitenkin huomattava, että kill bitin asettaminen poistaa komponentin käytöstä kaikilla web-sivustoilla. Ennen sen asettamista kannattaa siis tutkia, käytetäänkö komponenttia esimerkiksi joillain yrityksen omilla intranet-sivustoilla.
