Nul
Husk, at når Internet Explorer bruges til at gå ned som denne?
(Billede via Dell.com)
Microsoft har udgivet en out-of-band sikkerhedsopdatering i dag, December 19, for en svaghed i Internet Explorer, der i øjeblikket bliver misbrugt i naturen.
OS kaffefaciliteter krediteret Clement Lecigne af Googles Trussel Analyse Gruppen med at opdage og rapportering IE nul-dag.
Også: Hvorfor gratis Vpn er ikke en risiko der er værd at tage
Ifølge en security advisory frigivet på samme tid med at opdatere pakke, DVS nul-dag kan tillade en hacker at afvikle skadelig kode på en brugers computer.
Sporet som CVE-2018-8653, denne zero-day kan udnyttes i web-baserede scenarier, hvor en angriber lokker en bruger på et ondsindet websted, der køres skadelig kode på sin computer.
Spørgsmålet kan også udnyttes via applikationer at integrere IE scripting engine til at gøre web-baseret indhold-sådan som de apps, del af Office-pakken.
Den gode nyhed er, ifølge Microsoft, er, at angriberen vil få programkode rettigheder i henhold til de samme privilegier ofrets brugeren har. Hvis skadelidte er ved hjælp af en konto med begrænset adgang, den skade, der kan være indeholdt simple operationer, om end dette kan være nok til at plante malware på offerets computer.
Men tingene er lidt mere kompliceret. I de foregående fire måneder, Microsoft har lappet fire andre nul-dage. Alle disse nul-dage tillade noget, der hedder “udvidelse af rettigheder.”
Også: it-sikkerhed: Din chef er ligeglad og det er ikke OK
Dette betyder, at hvis et offer ikke har nået nogen af de fire foregående Windows Patch tirsdag patches, en hacker kan kæde IE zero-day med en af de tidligere nul-dage (CVE-2018-8611, CVE-2018-8589, CVE-2018-8453, CVE-2018-8440) for at opnå SYSTEM-niveau adgang til, og umiddelbart overtage en målrettet computer.
Det er derfor, det er yderst vigtigt, at brugerne holde deres systemer opdateret, især med Microsoft ‘ s seneste sikkerhedsopdateringer.
Microsoft har udgivet i dag KB4483187, KB4483230, KB4483234, KB 4483235, KB4483232, KB4483228, KB4483229, og KB4483187 til at løse DVS nul-dag.
Skal læse
Windows 10 brugere bør vente med at installere den seneste opdatering TechRepublic
RSA-Konferencen: Denne gang med flere kvinder CNET
Med vinterferien, der kommer hurtigt til, at mange IT-afdelinger, nogle administratorer, der måske ikke har tid til at teste og implementere dagens sikkerhedsopdatering.
Microsoft har forudset denne ulempe, og den CVE-2018-8653 security advisory indeholder også løsninger til begrænsning af adgangen til IE scripting engine, indtil system-administratorer kan installere dagens officielle patch.
Microsoft Kant, selskabets nyeste browser, er ikke påvirket af dette nul-dag.
Relaterede historier:
Facebook bug er udsat private fotos af 6,8 millioner usersLogitech app sikkerhedshul tilladt tastetryk injektion attacksSQLite fejl virkninger tusindvis af apps, herunder alle Chromium-baseret browsersBing anbefaler piratkopiering tutorial, når du søger efter Office 2019Shamoon malware ødelægger data på italiensk olie-og gas selskab’Bomb trussel ” svindlere er nu truer med at kaste syre på ofre
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre
0