Phenquestions
Microsoft publiserte en ny sikkerhetsbulletin utenfor bandet i dag som informerer om en nylig oppdaget kritisk sikkerhetsproblem i selskapets Internet Explorer-nettleser.
Sårbarheten, som ifølge selskapet allerede er utnyttet i naturen, påvirker Internet Explorer 7 til 11 på klient- og serveroperativsystemer. Microsoft Edge, standard Windows 10-nettleser, er ikke oppført på siden og påvirkes derfor ikke av sårbarheten.
Sårbarheten er vurdert kritisk for alle klientoperativsystemer og moderat for alle serveroperativsystemer i selskapet.
Microsoft ga ut oppdateringer for alle berørte (og støttede) versjoner av Windows. Disse oppdateringene er allerede tilgjengelige via Windows Update og via Microsofts nedlastingssenter.
Oppdateringen er oppført som "kumulativ oppdatering for Windows 10 (KB3081444)" for Windows 10-systemer, og oppført med koden KB3087985 på tidligere versjoner av Windows. Oppdateringen KB3078071 er en forutsetning for den oppdateringen på Windows 8.1 og 7, og Windows Server 2008 R2 og 2012 R2.
Angripere kan utnytte sårbarheten på forskjellige måter, for eksempel ved å lage websider som utnytter sårbarheten, HTML-e-post eller nettannonsering. Alt som trengs for å utløse sårbarheten er at dette innholdet lastes inn i en berørt versjon av Internet Explorer, og det er ikke nødvendig med en interaksjon med nettstedet bortsett fra det.
Angripere får samme rettigheter som den nåværende brukeren på systemet. Hvis den påloggede brukeren har administrative rettigheter, er en fullstendig overtakelse av systemet mulig, da det vil tillate angriperen å endre systeminnstillinger, opprette eller endre brukerkontoer, installere eller fjerne programvare og mer.
Microsoft nevner to avbøtende faktorer i sikkerhetsrådgivningen. Et ikke-administrativt brukernivå for den påloggede brukeren kan påvirke effekten på systemet. I tillegg hjelper Microsoft EMET, selskapets Enhanced Mitigation Experience Toolkit, til å redusere angrepet i henhold til Microsoft, forutsatt at det er konfigurert riktig til å fungere med Internet Explorer-nettleseren.
Nedlastningskoblinger for alle støttede operativsystemer er oppført på sikkerhetsbulletin-siden på Microsofts nettsted. For å laste ned oppdateringen manuelt, finn den installerte versjonen av Internet Explorer under berørt programvare, og klikk på lenken ved siden av operativsystemet datamaskinen vi kjører på.
Dette er den andre nødoppdateringen som er utgitt de siste par ukene. Microsoft ga ut bulletin MS15-078 i slutten av juli for alle støttede operativsystemer som adresserer et kritisk sikkerhetsproblem i Microsoft Font Driver.
