Microsoftin hätäkorjaus julki – päivitä heti
17
Microsoft on julkaissut harvinaisen hätäpäivityksen Explorer-selaimien pahaan turva-aukkoon. Hyökkäyksiä tehdään netissä jo tuhansilla sivuilla ja miljoonat käyttäjät ovat olleet vaarassa. Päivitykseen oli myös muita käytännön syitä. Microsoft kertoi samalla tarkasti mistä turva-aukossa on kyse.
MS08-078-turvapäivitys lähti jakoon automaattisissa päivityksissä eilen illalla Suomen aikaa. Viimeksi Microsoft julkaisi hätäpäivityksen normaalin kuukausittaisen aikataulun ulkopuolella lokakuussa. Sitä edellisestä tapauksesta oli vierähtänyt jo yli vuosi, eli hätäpäivityksiä nähdään harvoin.
Hyökkäyksiä käynnissä – lomat tulossa
Syy erikoiseen päivityksiin oli se, että hyökkäykset olivat laajasti jo käynnissä. Internet Explorer -nettiselaimen turva-aukko vaivasi käytännössä kaikkia tuettuja Windows-versioita ja kaikkia Explorerin versioita.
Lisäsyyn nopeaan korjaukseen aiheutti myös ajankohta. Joulun loma-aika alkaa jo muutaman päivän sisällä, joten yrityksissä on vain vähän aikaa korjauksiin. Työntekijät ottavat yrityskannettavansa kotiin ja käyttävät niitä loma-aikana. Jos koneet olisivat olleet päivittämättä koko tämän ajan, olisi tämä ollut ikävä riski.
Yrityksissä käytetään usein erillistä päivitysjärjestelmää Microsoftin automaattisten päivitysten sijasta.
Pieni vika - iso ongelma
Microsoft kertoo tiedotteessaan (englanti, suomi) mistä turva-aukko johtuu. Yhtiön mukaan haavoittuvuus liittyy Internet Explorerin tapaan käyttää niin sanottuja data binding -toimintoja. Joissain tapauksissa Internet Explorer saattaa vapauttaa data binding -toiminnallisuuteen liittyvän objektin, mutta jättää objektien listan päivittämättä.
Tämä saattaa aiheuttaa sen, että käytöstä poistetun ja vapautetun objektin varaama muistialue jää edelleen käyttöön. Jos hyökkääjä käyttää muistialuetta, tämä aiheuttaa Internet Explorerin kaatumisen niin, että hyökkääjä pääsee sitä kautta suorittamaan hyökkäyskoodiaan.
On hyvä huomata, että Microsoftin päivitys vaatii tietokoneen käynnistämisen uudelleen.
