Microsoft tutkii väitteitä hämärästä IE8-turva-aukosta
2
Microsoftin Internet Explrorer -selaimessa väitetään olevan tietoturva-aukko, jonka kautta hyökkääjä pystyy ihmeellisiin suorituksiin. Sen avulla voi esimerkiksi lähettää uhrin nimissä Twitter-viestejä tai jopa sähköpostia. Microsoft ei ole vahvistanut asiaa, mutta myöntää tutkivansa sitä.
Tapahtumaketjusta on kertonut eWeek. Turva-aukon on nostanut tapetille Googlen tietoturva-asiantuntija Chris Evans turva-asioihin paneutuvalla postituslistalla.
Evans kirjoittaa css-pohjaisesta ongelmasta (cascading style sheets), joka on ollut kaikille selaimille yhteinen. Hänen mukaansa se on korjattu muista selaimista, mutta jätetty paikkaamatta IE8:sta. Evans on esitellyt, kuinka aukon avulla voidaan lähettää uhrikoneelta Twitter-viesti.
Css-ongelma ei ole todellakaan mikään uusi asia. Sitä uskotaan käytetyn hyökkäyksiin jo vuonna 2002, ja aukko on korjattu kaikista muista valtaselaimista. Evans sanoo, että aukko on avoinna ainakin IE8:ssa ja mahdollisesti myös selaimen vanhemmissa versiossa. Hän kuvailee turva-aukkoa erittäin ilkeäksi.
eWeek on saanut asiaan kommentin Microsoftin tietoturvatutkijoilta. He ovat tutkimassa väitteiden todenperäisyyttä ja lupaavat ryhtyä tarvittaviin toimiin. Tarpeen tullen voidaan tarjota korjauspäivitys joko normaalin päivitysohjelman puitteissa tai sen ulkopuolella. Microsoftin tiedossa ei ole, että aukkoon ainakaan hyökkäiltäisiin aktiivisesti.
