Internet Explorer -aukkoon pikakorjaus
14
Vaarallinen haavoittuvuus Internet Explorer -selaimessa korjataan pikapäivityksellä, ohjelmistoyhtiö Microsoft ilmoitti tietoturvablogissaan tiistai-iltana Suomen aikaa. “Ottaen huomioon asian saaman suuren huomion, hämmennyksen siitä, miten tätä vastaan voi suojautua ja tietoturvan uhkan laajentumisen, Microsoft julkaisee päivityksen normaalin aikataulun ulkopuolella”, kirjoittaa johtaja George Stathakopoulos Microsoftin turvaohjelmien yksiköstä.
Päivityksen tarkka aikataulu selviää lähiaikoina, ja se tulee tällöin Windowsin automaattiseen päivitysjakeluun.
Tällaiset päivitykset ovat hyvin harvinaisia, muistuttaa Suomen Microsoftin tietoturvajohtaja Kimmo Bergius blogissaan. Edellinen, ja ainoa vuonna 2009 julkaistiin heinäkuussa kahden päivityksen muodossa korjauksena arl-haavoittuvuuteen.
Haavoittuvuutta vastaan hyökätty
Bergius perustelee, että tällaiset päivitykset harkitaan useiden tekijöiden perusteella, kuten mikä on haavoittuvuuden aiheuttama riski asiakkaille sekä missä vaiheessa päivityksen testaus on.
Tietoturva-aukko on luokiteltu kriittiseksi, koska sen avulla hyökkääjä voi päästä ajamaan koodiaan Windows-koneessa. Haavoittuvuutta vastaan on tehty kohdistuneita hyökkäyksiä.
Microsoftin mukaan kyse on pienestä määrästä iskuja tarkoin valittuja kohteita vastaan. Uhreja ovat olleet Google, ja joidenkin arvioiden mukaan kymmenet muut amerikkalaiset yritykset. Viestintäviraston tiedossa ei ollut alkuviikosta hyökkäyksiä suomalaisiin yrityksiin.
Microsoftin tärkein tietoturvaohje on päivittää Internet Explorer 6:sta turvallisempaan Internet Explorer 8:aan. Se suosittelee myös Data Execution Prevention (DEP) -turvaominaisuuden ottamista käyttöön.
DEP lähtee automaattisesti päälle, kun Windows XP:n päivittää Service Pack 3:een ja Windows Vistassa Internet Explorerin kasiversioon.
Haavoittuvuus koskee Microsoftin uhkakuvauksen mukaan myös IE7:ää ja IE8:ää. Kimmo Bergiuksen mukaan kaikki onnistuneet hyökkäykset näyttävät tähän asti kohdistuneen kuutosversioon.
Viestintäviraston Cert-fi-yksikön johtaja Erka Koivunen sanoi tiistaina Tietokoneelle, ettei DEP-ominaisuuskaan välttämättä suojaa loputtomiin.
”Vaikka nyt näyttääkin siltä, että DEP-suorituksenestotoiminnon päälle kytkeminen suojaa 7- ja 8-versioiden käyttäjiä, on tuskin vaikeaa laatia hyökkäys, joka toimii suojauksesta huolimatta”, totesi Koivunen.
Suomessa viranomainen ei ole mennyt yhtä pitkälle kuin Ranskassa ja Saksassa, joissa maiden tietoturvavirastot ovat suositelleet Internet Explorerin käytön lopettamista, kunnes haavoittuvuus on korjattu.
