Microsoftin turvatekniikka kääntyi itseään vastaan
0
Niin sanotut xss-hyökkäykset ovat netin jatkuva uhka, ja niinpä Microsoft lisäsi Internet Explorer 8 -selaimeen erikoissuojan niitä vastaan. Suojassa on kuitenkin paljastunut ongelmia, jotka voivat avata xss-aukkoja sinne, missä niitä ei muuten olisi.
Microsoft lisäsi xss- eli cross site scripting -turvan Interner Explorer 8 -selaimeen viime vuonna. Tekniikalla yritetään estää tilanteet, jossa asiallisille nettisivuille haetaan käyttäjän tietämättä tietoa rikollisten palveluista.
Myöhemmin tekniikasta huomattiin turva-aukkoja, jotka voivat avata uusia xss-aukkoja muuten turvallisiin palveluihin. Pulmat koskevat yhtiön mukaan osittain myös muita selaimia.
Microsoft korjasi ongelmia tammikuussa (MS10-002) ja jälleen maaliskuussa (MS10-018).
Microsoft: xss-suojauksia kannattaa käyttää
Nyt yhtiö on ilmoittanut, että xss-suojatekniikkaa korjataan vielä lisää. Blackhat EU -turvatapahtumassa julkaistiin uusia hyökkäysmahdollisuuksia. Microsoftin mielestä riski ei ole suuri, mutta ongelma pyritään korjaamaan kesäkuun päivitysten yhteydessä.
Microsoft kannustaa kaikkia käyttämään xss-tekniikkaa. Vaikka siinä on ollut turva-aukkoja, kokonaisuutena hyödyt ovat yhtiön mielestä paljon riskejä suuremmat.
