IE-reikään voidaan hyökätä myös sähköpostitse
23
Microsoftin sähköpostiohjelmat eivät oletusarvoisesti näytä html-viestien kuvia tai aktiivista koodia, eikä niitä kannata koskaan hyväksyä kuin varmasti luotettavista lähteistä. IE:n haavoittuvuudet koskevat myös ohjelmia, jotka näyttävät html-sisällöt selaimen moottorin avulla.
Internet Explorer -selaimen haavoittuvuuteen voidaan iskeä myös useiden Microsoftin muiden ohjelmien kautta, varoittavat saksalaiset Cert-tietoturva-asiantuntijat selvitystensä perusteella..
Internet Exploreria hyödyntävistä ohjelmista IE6:n haavoittunutta mshtml.dll-komponenttia käyttävät muun muassa Outlook (versioon Outlook 2003 asti), Outlook Express ja sen seuraaja Windows Mail ja Windows Live Mail. Lisäksi IE:tä voidaan käyttää muualla Windows-käyttöjärjestelmässä web-sisältöjen esittämiseen.
Suomen Microsoftin tietoturvajohtaja Kimmo Bergius huomauttaa, että IE-haavoittuvuuden vaikutuksista muihin ohjelmiin kerrottiin jo alkuperäisessä tietoturvatiedotteessa.
Html-sähköpostiviestejä kannattaa varoa
Bergius neuvoo, että ongelman välttää, kun ei avaa sähköpostiohjelmassa aktiivista html-sisältöä. Ohjelmat eivät oletuksena näytä html-viesteissä kuvia tai sovellustoimintoja.
Vanhasta Internet Explorer 6 -selaimesta on syytä päivittää IE8:aan. Sekä IE7:ssä että IE8:ssa kannattaa käyttää Data Execution Prevention -ominaisuutta. Se kytkeytyy automaattisesti päälle päivittämällä Windows XP:ssä ja Vistassa uusimpaan Service Pack -huoltopakettiin.
Viestintäviraston Cert-fi-yksikkö tiedotti keskiviikkona IE-haavoittuvuuden vaikutuksista muhin Microsoftin ohjelmiin. Cert-fi:n johtaja Erka Koivunen kertoo, että näin toimittiin, koska julkisuudessa käsiteltiin yksinomaan haavoittuvuuden vaikutusta selaimen käyttöön.
Tässä vaiheessa uhkaa vähentää jo sekin, että tietoturvaohjelmiin on päivitetty ja päivitetään tunnistusta sille. Suomalainen F-Secure vahvisti jo ohjelmansa suojaavan hyökkäyksiltä IE-aukkoa vastaan.
Suomalaisia uhreja ei vielä tiedossa
IE-haavoittuvuutta hyväksi käyttävä rikollinen voi päästä ajamaan koodiaan Windows-koneessa. Tähän asti tietoon on tullut vasta kohdennettuja hyökkäyksiä joitakin yrityksiä vastaan. Yhdysvalloissa hyökkäys on kohdistunut Googleen ja tietoturva-asiantuntijoiden mukaan noin 30 muuhun yritykseen.
Cert-fi:n Koivunen sanoo, että aiemmin niin sanotut nollapäivähyökkäykset ovat tulleet suurella ryminällä. Nyt uutta on se, että kohdennetuista hyökkäyksistä levisi tieto julkisuuteen vasta viiveellä.
Microsoft on ilmoittanut, että haavoittuvuuteen julkaistaan piakkoin korjaus nopeutetulla aikataululla tavallisen päivityssyklin ulkopuolella. Se tulee jakeluun Windowsin automaattisen päivitystoiminnon kautta.
Cert-fi taas on ilmoittanut julkaisevansa tietoturva-aukosta varoituksen, jos hyökkäyksiä näyttää kohdistuvan Suomeen.
