Microsoft opraví aktuálně zneužívanou chybu zabezpečení ovlivňující IE9,10 a 11

Ikona času čtení 2 min. číst

Ikona kalendáře Publikované dne Ledna 18, 2020

publikováno dne Ledna 18, 2020

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi.

Internet Explorer má s 7.44 % stále větší podíl na trhu než Edge a jen o něco menší než Firefox. Je proto dobrou zprávou, že Microsoft je připraven opravit chybu v prohlížeči, která by mohla mít za následek vzdálené spuštění kódu, pokud někdo navštíví speciálně vytvořený web pomocí softwaru.

Informační zpráva společnosti Microsoft týkající se chyby zabezpečení proti poškození paměti skriptovacího stroje ADV200001 zní:

Ve způsobu, jakým skriptovací stroj zpracovává objekty v paměti v aplikaci Internet Explorer, existuje chyba zabezpečení umožňující vzdálené spuštění kódu. Tato chyba zabezpečení by mohla poškodit paměť takovým způsobem, že by útočník mohl spustit libovolný kód v kontextu aktuálního uživatele. Útočník, který by tuto chybu zabezpečení úspěšně zneužil, by mohl získat stejná uživatelská práva jako aktuální uživatel. Pokud je aktuální uživatel přihlášen s uživatelskými právy správce, útočník, který by tuto chybu zabezpečení úspěšně zneužil, by mohl převzít kontrolu nad postiženým systémem. Útočník by pak mohl instalovat programy; prohlížet, měnit nebo mazat data; nebo vytvořit nové účty s plnými uživatelskými právy.

Ve scénáři webového útoku by útočník mohl hostit speciálně vytvořený web, který je navržen tak, aby zneužil tuto chybu zabezpečení prostřednictvím aplikace Internet Explorer, a poté přesvědčit uživatele, aby si web prohlédl, například odesláním e-mailu.

Microsoft řekl TechCrunch že to bylo, „uvědomovalo si omezené cílené útoky“ a „pracovalo na opravě“. Chyba se zdá podobná jako u jednoho postiženého Firefoxu a je připsána stejnému bezpečnostnímu výzkumnému týmu se sídlem v Číně, Qihoo 360.

Microsoft však nevydá aktualizaci Out of Band jako loni, což znamená, že uživatelé budou muset počkat do příštího opravného úterý 11. února.

Chyba je tak závažná, že vydala vnitřní bezpečnost poradní. Paradoxně se Internet Explorer s největší pravděpodobností používá s citlivými daty, protože jsou to obecně podnikoví uživatelé, kteří zůstávají uvízlí v prohlížeči, protože potřebují podporovat speciálně kódované webové aplikace.

Existují techniky zmírnění, které mohou správci použít a které lze nalézt v pokynech společnosti Microsoft zde.

Přes Engadget

Více o tématech: internet explorer, zabezpečení, Windows 10

Surur Davids

Expert na chytré telefony

Surur Davids je zakladatelem WMPoweruser, který se později stal MSPoweruser.com. Je to odborník na chytré telefony s více než desetiletými zkušenostmi.