Image
19.2.2014 0 Comments

Internet Explorer 10 možno infikovať obyčajnou návštevou webu. Oprava zatiaľ nie je na dohľad.

ie10.jpg Microsoft oficiálne potvrdil informáciu, ktorá sa objavila v médiách koncom minulého týždňa, že jeho webový browser Internet Explorer 10 (a aj staršie verzie IE9) má tzv. zero-day zraniteľnosť kritickej povahy, na ktorú zatiaľ neexistuje oprava. To využívajú útočníci a už túto chybu aktívne exploitovali.

Pôvodne sa objavila informácia o nebezpečnej zraniteľnosti len v IE10, ale neskôr bola rozšírená aj na IE9. Microsoft preto odporúča pred vydaním záplaty aktualizovať na najnovšiu verziu Internet Explorer 11, ktorá však nie je k dispozícii pre Vistu, pretože tá ako poslednú verziu podporuje práve len IE9. Našťastie Vista sa už stala takmer zabudnutým operačným systémom, používajú ju v súčasnosti menej než 4 % používateľov. Pod Windows XP je potom poslednou podporovanou verziou Internet Explorer 8, ktorý uvedenú zraniteľnosť neobsahuje, majitelia „xpéčok" sa teda nemajú čoho obávať.

Podľa štatistík spoločnosti Net Applications používa v súčasnosti IE9 celosvetovo 15,3 % používateľov a pri IE10 je to potom 15,9 %. V súčte je to teda takmer tretina všetkých používateľov Internet Explorera, ktorí sú teraz vystavení riziku napadnutia. Mimochodom, najrozšírenejšou verziou je práve IE8, ktorý si drží zatiaľ neotrasiteľný podiel 36,5 % z celkového počtu používateľov Internet Explorera.

Ako útok na Internet Explorer prebieha?

Napadnutie funguje tak, že útočníci umiestnia škodlivý kód na cieľový web a ten infikuje počítače návštevníkov s IE9 či IE10 úplne automaticky. Tento typ útoku je vôbec najzákernejší, pretože od používateľa nie je vyžadovaná nijaká akcia a nie je si vedomý prakticky žiadneho problému. Na napadnutie prehliadača potom útočníci využijú možnosť obídenia bezpečnostnej technológie ASLR za použitia Flash ActionScript, čo je skriptovací jazyk od Adobe, používaný na weboch, ktoré sú silne závislé od Flash Playera na zobrazovanie obsahu návštevníkom.

Po úspešnom prelomení ochrany škodlivý kód stiahne do počítača ďalšie súbory zo vzdialeného servera, ktoré potom útočníkom umožnia prakticky neobmedzený prístup k PC obete.

Prvé exploity tejto zraniteľnosti sa podľa bezpečnostných expertov objavili údajne už okolo 20. januára, takže používatelia sú vystavení riziku už takmer mesiac. Medzi prvotné obete patrili návštevníci webových stránok Francúzskej aeronautickej asociácie (GIFAS). Ďalej potom boli škodlivé kódy šírené cez ďalšie weby venované vojenskej tematike v USA, čo je až zaujímavá zhoda náhod a odborníci na bezpečnosť špekulujú, že účelom bolo napadnúť počítače osôb pracujúcich v armáde.

Oprava zatiaľ nie je na dohľad

Microsoft zatiaľ nezverejnil žiadnu bližšiu informáciu, či v tomto prípade uvoľní mimoriadnu záplatu mimo tradičného cyklu opráv, ktoré by pripadali až na 11. Marca, a tak by používatelia boli nechránení ešte ďalšie tri týždne. Pritom už februárový balík záplat Microsoftu priniesol dovedna 15 opráv pre IE10 - tie tam boli dodané takpovediac na poslednú chvíľu, keď Microsoft stihol dokončiť ich testy tesne pred uvoľnením aktualizácie.

Podstata zraniteľnosti by si však žiadala čo najrýchlejšiu akciu a riziká sú v tomto prípade enormné. Najmä firmy by mali skontrolovať, či nemajú vo svojej sieti počítača s IE9 alebo IE10, a ak ich z nejakého dôvodu nemôžu aktualizovať na novšiu verziu, potom treba dať zamestnancom k dispozícii alternatívny prehliadač. Prinajmenšom do uvoľnenia opravy.

Zdroj: ICT manažer


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

Produkty

Microsoft to s mobilmi nevzdáva. Ukázal, že na mobiloch bude možné spustiť Windows 10 i Photoshop

09.12.2016 10:00

Na konferencii WinHEC v Číne Microsoft demonštroval, že sa mu podarilo spustiť operačný systém Windows 10 na procesore Qualcomm Snapdragon 820. Je to teda prvý procesor ARM s podporou plnohodnotného W ...

Produkty 1

Ako v IMAX. Prvý projektor DLP so 4K rozlíšením a certifikáciou THX HD Display

09.12.2016 00:10

Spoločnosť BenQ uvádza na trh nový model pre domáce kino BenQ W11000. Prvý a zatiaľ svetovo jediný 4K UHD projektor DLP s prestížnou certifikáciou THX na HD obraz ponúka 8,3 milióna pixelov, farebné p ...

Produkty

Gionee ponúkne prémiový smartfón so 7000 mAh batériou, trojicou foťákov a 6 GB RAM

09.12.2016 00:25

U nás málo známy čínsky výrobca Gionee pripravuje zaujímavý smartfón. Bude určený len na domáci trh, ale aj tak si zaslúži pozornosť pre svoju impozantnú hardvérovú konfiguráciu. Síce ešte nebol ofici ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá