Microsoft publiserte en ny out of band sikkerhetsbulletin i dag som informerer om en nylig oppdaget kritisk sikkerhetsproblem i selskapets Internet Explorer nettleser.
Sårbarheten, som allerede er brukt i felten i henhold til selskapet, påvirker Internet Explorer 7 til 11 på klient og server operativsystemer. Microsoft Kanten, standard Windows-10 nettleser, er ikke oppført på siden og dermed ikke berørt av sårbarheten.
Sårbarheten er vurdert kritisk for alle klientoperativsystemer og moderat for alle server-operativsystemer for selskapet.
Microsoft har gitt ut oppdateringer for alle berørte (og støttes) versjoner av Windows. Disse plastrene er allerede tilgjengelig via Windows Update og via Microsoft Download Center.
Oppdateringen er oppført som “kumulative oppdateringen for Windows 10 (KB3081444)” for Windows 10-systemer, og som er oppført med koden KB3087985 på tidligere versjoner av Windows. Oppdateringen KB3078071 er en forutsetning for at oppdateringen på Windows 8.1 og 7 og Windows Server 2008 R2 og 2012 R2.
Angripere kan utnytte dette sikkerhetsproblemet ved å gjennom ulike virkemidler, for eksempel ved å opprette web-sider som kan utnytte sårbarheten, HTML-e-post-eller web-annonsering. Alt som trengs for å utløse sårbarhet er at dette innholdet blir lagt i en berørt versjon av Internet Explorer, en interaksjon med nettstedet er ikke nødvendig, bortsett fra at.
Angriperne få de samme rettigheter som den aktuelle brukeren og systemet. Hvis brukeren som er logget på med administrative rettigheter, en fullstendig overtakelse av systemet er mulig som det ville gjøre det mulig for en angriper å endre systeminnstillinger, opprette eller endre brukerkontoer, installere eller fjerne programvare, og mer.
Microsoft nevner to begrensende faktorer i sikkerhetsrådet. En ikke-administrative brukeren, på nivå av brukeren som er logget på kan ha betydning for effekten på systemet. I tillegg, Microsoft EMET, selskapets Enhanced Mitigation Experience Toolkit, bidrar til å redusere angrepet, ifølge Microsoft, forutsatt at det er konfigurert til å fungere med Internet Explorer nettleser.
Last ned koblinger for alle operativsystemer som er oppført på sikkerhetsbulletin side på webområdet til Microsoft. For å laste ned oppdateringen manuelt, kan du finne den installerte versjonen av Internet Explorer under programvare som påvirkes, og klikk på koblingen ved siden av operativsystemet på datamaskinen oss kjører på.
Dette er den andre beredskap patch utgitt i de siste par ukene. Microsoft lanserte bulletin MS15-078 i slutten av juli for alle støttede operativsystemer som løser et kritisk sikkerhetsproblem i Microsoft Skrift Driver.