וִידֵאוֹ: Microsoft рекомендует не использовать internet explorer (אוֹקְטוֹבֶּר 2024)
מוקדם יותר השבוע פרסמה מיקרוסופט אזהרת אבטחה מרכזית למשתמשים בדפדפן האינטרנט Explorer שלה. "מיקרוסופט בודקת דוחות ציבוריים על פגיעות בכל הגירסאות הנתמכות של Internet Explorer", כתבה ענקית התוכנה ביום שלישי. "מיקרוסופט מודעת להתקפות ממוקדות שמנסות לנצל פגיעות זו ב- Internet Explorer 8 וב- Internet Explorer 9."
מה שזה עושה
באמצעות פגיעות זו, תוקף יכול להשתמש באתר אינטרנט המיוצר במיוחד כדי לבצע מרחוק קוד עם אותן זכויות כמו הקורבן ללא ידיעתם. כל מה שהקורבן צריך לעשות הוא ללחוץ על קישור זדוני.
"הפגיעות קיימת באופן בו Internet Explorer ניגש לאובייקט בזיכרון שנמחק או שלא הוקצה כראוי", כתבה מיקרוסופט. "הפגיעות עלולה להשחית את הזיכרון באופן שעלול לאפשר לתוקף לבצע קוד שרירותי בהקשר של המשתמש הנוכחי בתוך Internet Explorer." על פי אותו ייעוץ אבטחה, אפשר להשתמש באתרים המארחים תוכן או פרסום מתוצרת המשתמש על מנת לדחוף את הפגיעות.
זה עלול להחמיר
למרות שמיקרוסופט מכוונת אנשים לתיקון, התוקפים עדיין יכולים לנצל היטב את הניצול הזה. יועץ האבטחה של Neohapsis, פטריק תומאס, אמר כי "כתבי ערכה ניצלו באופן פעיל מהנדסי רוורס של מיקרוסופט." "אז אמנם ניצול זה הוגבל בתחילה לקבוצה קטנה של יעדים, אך ככל הנראה הוא ייכלל בערכות ניצול מסחריות שונות ובשימוש כללי נרחב תוך 1-5 השבועות הקרובים."
למרות שההתקפות בשטח בטבע נראות מוגבלות, הניצול הוא גדול עם Websense המדווחת כי 70 אחוז מהמשתמשים העסקיים הם פגיעים. פול הנרי, אנליסט האבטחה של Lumension, כתב: "זהו תיקון רחב מאוד, המשפיע על כל גרסאות ה- IE בכל מערכות ההפעלה, מ- XP ל- RT.
מה אתה יכול לעשות
מיקרוסופט כותבת כי החברה בוחנת כעת את הבעיה, ותחליט אם לפרסם עדכון מערכת מחוץ למחזור או פשוט לחכות לשחרור האבטחה המתוכנן הבא - שהוא 8 באוקטובר. בינתיים פרסמה פיתרון FixIT.
החברה אכן מציעה למי שמושפע (קרא: כמעט כולם) לשקול מספר גורמים מקלים וסביבות עבודה. הקלה ביותר, ולכן ככל הנראה החשובה ביותר למשתמשים ממוצעים, היא לא להשתמש בחשבון עם הרשאות מנהל לצורך עבודה יומיומית.
מיקרוסופט גם ציינה כי לתוקפים אין דרך "להכריח" קורבן לבקר באתר זדוני. במקום זאת, נראה כי הקורבנות יתפתו להודעות דיוג. כמו תמיד, הכללים הפרנואידים חלים: אל תלחץ על קישורים חריגים או לא צפויים, אפילו לא מאנשים שאתה סומך עליהם.
