Security Advisory 2488013 - haavoittuvuus Internet Explorer -selaimessa

Microsoft on hetki sitten julkaissut uuden Security Advisoryn 2488013 otsikolla Vulnerability in Internet Explorer Could Allow Remote Code Execution. Security Advisory koskee Internet Explorer -selaimen versioita 6, 7 ja 8. IE:stä on löydetty haavoittuvuus, joka liittyy CSS-tiedostojen käsittelyyn. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta luomalla tietyllä tavalla muotoillun Web-svun ja houkuttelemalla käyttäjän avaamaan Web-sivun selaimessa. Sivun avaaminen saattaa aiheuttaa muistivirheen, jonka turvin hyökkääjä pääsee suorittamaan haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä.    

Haavoittuvuus koskee siis Internet Explorer -selaimen versioita 6, 7 ja 8 kaikissa tuetuissa käyttöjärjestelmissä.

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla kerrotaan keino, jonka avulla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää. Keino liittyy EMET-toiminnallisuuden (Enhanced Mitigation Experience Toolkit) käyttämiseen.   

 Lisätietoja haavoittuvuudesta löytyy MSRC:n blogista osoitteessa https://blogs.technet.com/msrc/ sekä Security Research and Defense -blogista osoitteesta https://blogs.technet.com/b/srd/archive/2010/12/22/new-internet-explorer-vulnerability-affecting-all-versions-of-ie.aspx.