Phenquestions
Společnost Microsoft dnes zveřejnila nový bulletin zabezpečení mimo pásmo, který informuje o nově zjištěné kritické chybě zabezpečení ve webovém prohlížeči společnosti Internet Explorer.
Zranitelnost, která je podle společnosti již ve volné přírodě využívána, ovlivňuje Internet Explorer 7 až 11 v klientských a serverových operačních systémech. Microsoft Edge, výchozí webový prohlížeč Windows 10, není na stránce uveden, a proto není zranitelností ovlivněn.
Zranitelnost je hodnocena jako kritická pro všechny klientské operační systémy a střední pro všechny serverové operační systémy společnosti.
Společnost Microsoft vydala opravy pro všechny ovlivněné (a podporované) verze systému Windows. Tyto opravy jsou již k dispozici prostřednictvím služby Windows Update a prostřednictvím Centra stahování společnosti Microsoft.
Tato aktualizace je uvedena jako „kumulativní aktualizace pro Windows 10 (KB3081444)“ pro systémy Windows 10 a je uvedena s kódem KB3087985 v předchozích verzích systému Windows. Aktualizace KB3078071 je předpokladem pro tuto aktualizaci v systému Windows 8.1 a 7 a Windows Server 2008 R2 a 2012 R2.
Útočníci mohou tuto chybu zabezpečení zneužít různými způsoby, například vytvořením webových stránek, které tuto chybu zabezpečení zneužijí, e-maily HTML nebo webovou reklamou. K aktivaci této chyby zabezpečení je potřeba pouze to, aby byl tento obsah načten v ohrožené verzi aplikace Internet Explorer, kromě toho není nutná interakce s webem.
Útočníci získávají stejná práva jako aktuální uživatel v systému. Pokud má přihlášený uživatel oprávnění správce, je možné úplné převzetí systému, protože by to útočníkovi umožnilo upravit nastavení systému, vytvořit nebo upravit uživatelské účty, nainstalovat nebo odebrat software atd.
Společnost Microsoft v informačním zpravodaji uvádí dva zmírňující faktory. Úroveň přihlášeného uživatele bez oprávnění správce může ovlivnit účinek na systém. Microsoft EMET, společnost Enhanced Mitigation Experience Toolkit, navíc pomáhá zmírnit útok podle Microsoftu za předpokladu, že je správně nakonfigurován pro práci s webovým prohlížečem Internet Explorer.
Odkazy ke stažení pro všechny podporované operační systémy jsou uvedeny na stránce bulletinu zabezpečení na webu Microsoftu. Chcete-li aktualizaci stáhnout ručně, vyhledejte nainstalovanou verzi aplikace Internet Explorer pod ovlivněným softwarem a klikněte na odkaz vedle operačního systému, ve kterém je počítač spuštěn.
Toto je druhá nouzová oprava vydaná za posledních pár týdnů. Společnost Microsoft vydala na konci července bulletin MS15-078 pro všechny podporované operační systémy, které řeší kritickou chybu zabezpečení v ovladači písma Microsoft.
