:

Szerző: Gálffy Csaba

2014. április 28. 10:48

Itt a Windows XP első javítatlan hibája

Gyorsan megérkezett a Windows XP (pontosabban a platform részét képező Internet Explorer) első sebezhetősége. A hiba a Microsoft böngészőjének összes verzióját érinti, a többi rendszeren lesz javítás, XP-n már biztosan nem.

Súlyos, aktívan kihasznált biztonsági hibát talált az Internet Explorerben a FireEye - jelentette be a biztonsági cég szombaton, a hiba létezését másnap a Microsoft is megerősítette. A FireEye jelentése szerint a hibát már aktívan használják támadók az IE 9, 10 és 11 esetében, de a böngésző korábbi kiadásai is érintettek, a hiba a támogatott 9-10-11 mellett a (hónap eleje óta már nem támogatott) 6-7-8 kiadásokban is megtalálható. Ezzel ez a biztonsági hiba lett az első, amelyet a Windows XP és az azon futó böngészők támogatásának lejártával a Microsoft már nem fog kijavítani.

Javítás még nincs, de kivédhető

A Microsoft blogbejegyzése szerint a sérülékenység távoli kódfuttatást tesz lehetővé, vagyis ha a felhasználót sikerül egy megfelelően preparált weboldal meglátogatására rávenni (például social engineering használatával, egy megtévesztő emaillel), akkor a támadó tetszőleges kódot futtathat a számítógépen, a felhasználó jogosultságának megfelelő jogosultsággal, emiatt értelemszerűen az adminisztrátori státusszal rendelkező felhasználók vannak a legnagyobb veszélyben.

A FireEye és a Microsoft információi szerint érdemes rendkívül óvatosnak lenni a sérülékeny böngészők használatával, nem csak a tipikusan rossz hírűnek tekintett weboldalak lehetnek veszélyesek, hanem az olyanok is, amelyek felhasználó által feltöltött tartalmat jelenítenek meg. A biztonsági cég leírása szerint a sebezhetőség az Internet Explorer egy új és az Adobe Flash már korábban ismert hibájának kombinálásával keletkezett, a kihasználáshoz rosszindulatú SWF tartalomra van szükség.

Internet Explorer kékkel - itthon már távoli harmadik.

Alapértelmezésben a szerveres operációs rendszereken futó Internet Explorer magasabb biztonsági beállításokkal fut, emiatt a Server 2003, 2008, 2008 R2, valamint 2012 és 2012 R2 nem érintett. Ugyanígy az Outlook, Outlook Express és Windows Mail HTML-megjelenítője is a böngészőnél magasabb védettséggel fut (tiltottak a scriptek és az ActiveX), így pusztán email megnézésével nem válik támadhatóvá a számítógép (de link megnyitásával Internet Explorerben igen). A védekezésben segít a Microsoft biztonsági pakkja, az Internet Explorerhez konfigurált EMET (Enhanced Mitigation Experience Toolkit) kivédi a problémát. A sebezhetőségre a Microsoft egyelőre nem adta ki a frissítést, emiatt ha lehet, érdemes elkerülni az Internet Explorer használatát, az alternatív böngészők, mint a Chrome vagy a Firefox nem érintettek.

Az első rés a pajzson

A javítás várhatóan néhány héten belül elérhető lesz a támogatott operációs rendszert használók számára, ebben azonban a Windows XP már nem található meg, vagyis ezen a platformon az Internet Explorer immár örökre sebezhető marad. Szerencsére a Google és a Mozilla még támogatja a rendszert, így XP-n mindenképp érdemes gyorsan átállni alternatív böngészőre, ha valaki eddig még nem tette meg.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

Magyarországon az Internet Explorer messze lemaradva követi a Chrome és a Firefox részesedését, a Microsoft böngészőjének összes kiadása együtt 10,66 százalékos részesedéssel rendelkezik a Gemius Rankings adatai szerint. Az Internet Explorer 6 és 7 ezen belül is elenyésző, 1-1 százalék alatti részesedéssel bír, az IE8 azonban még mindig az Explorer-felhasználók 27 százalékát szolgálja ki.

Ha a böngésző már nem is rendelkezik túl nagy részesedéssel, a Windows XP-t még mindig ijesztően magas arányban használják a hazai felhasználók internetezésre. A rankings.hu ide vonatkozó adatsora szerint még mindig 25 százalék fölötti az XP részesedése, ami ötszöröse a Windows 8 és 8.1 kombinált részesedésének. Ez akkor jelent majd igazán súlyos problémát, ha a rendszer egyéb, hálózaton elérhető komponenseiben kerülnek elő sebezhetőségek, azok ellen ugyanis a böngésző lecserélése nem nyújt védelmet.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról