Spoločnosť Microsoft rozosiela opravy zabezpečenia pre „nepodporovaný“ systém Windows 7 a všetky staršie verzie prehľadávača Internet Explorer

Microsoft Edge

Microsoft Windows 7 a Internet Explorer možno oficiálne opustili okno bezplatnej podpory, ale platformy naďalej dostávajú opravy kritických bezpečnostných chýb, ktoré sa neustále objavujú. Spoločnosť práve rozposlala bezpečnostnú opravu na ochranu počítačov pred aktívne využívanou chybou JavaScriptu. Chyba zabezpečenia môže potenciálne umožniť vzdialenému útočníkovi spustiť ľubovoľný kód v kontexte aktuálneho používateľa.

Spoločnosť Microsoft zaslala dôležitú bezpečnostnú opravu nielen pre operačný systém Windows 7, ale aj pre viaceré verzie prehliadača Internet Explorer. Zatiaľ čo Windows 7 bol dlho nahradzovaný Windows 8 a Windows 10, IE bol nahradený Microsoft Edge. Napriek dvom platformám oficiálne mimo kompetencie bezplatnej podpory „Spoločnosť Microsoft bežne robí výnimky a rozosiela patche na pripojenie bezpečnostné medzery, ktoré je možné potenciálne zneužiť prevziať administratívnu kontrolu alebo vzdialene spustiť kód.

Spoločnosť Microsoft vydáva aktualizáciu zabezpečenia pre systém Windows 7 z dôvodu závažnej chyby zabezpečenia programu IE
Prehliadače Windows 7 aj IE prestali minulý mesiac podporovať, ale kvôli najnovšej závažnej chybe IE sa spoločnosť Microsoft rozhodla znova poskytnúť bezpečnostné opravy pre systém Windows 7. Po dis .. pic.twitter.com/oCKGuMYrW3

- TESTOVACIA SPOLOČNOSŤ POD KÓDOM (@UnderCodeTC) 21. februára 2020

Microsoft opravuje nové a aktívne využívané bezpečnostné chyby v IE v OS Windows 7:

Novoobjavený a aktívne využívaná chyba zabezpečenia bol úspešne opravený spoločnosťou Microsoft. Zraniteľnosť zabezpečenia, oficiálne označený ako CVE-2020-0674 bol vykorisťovaný vo voľnej prírode. Spoločnosť Microsoft ponúkla ďalšie podrobnosti o chybe. Oficiálny popis CVE-2020-0674 znie takto:

Zraniteľnosť pri vykonávaní vzdialeného kódu existuje v spôsobe, akým skriptovací modul spracováva objekty v pamäti v programe Internet Explorer. Zraniteľnosť by mohla poškodiť pamäť takým spôsobom, že by útočník mohol spustiť ľubovoľný kód v kontexte aktuálneho používateľa. Útočník, ktorý úspešne zneužije túto chybu, by mohol získať rovnaké používateľské práva ako súčasný používateľ. Ak je aktuálny používateľ prihlásený s oprávneniami správcu, útočník, ktorý úspešne zneužije túto chybu, by mohol prevziať kontrolu nad ovplyvneným systémom. Útočník by potom mohol nainštalovať programy; prezerať, meniť alebo mazať údaje; alebo vytvorte nové účty s úplnými používateľskými právami.

V scenári útoku založeného na webe by útočník mohol hostiť špeciálne vytvorený web, ktorý je navrhnutý tak, aby zneužil túto chybu zabezpečenia prostredníctvom programu Internet Explorer, a potom presvedčiť používateľa, aby si web prezrel. Útočník môže tiež vložiť ovládací prvok ActiveX označený ako „bezpečný pre inicializáciu“ do aplikácie alebo dokumentu balíka Microsoft Office, ktorý je hostiteľom vykresľovacieho modulu IE. Útočník by tiež mohol využiť napadnuté webové stránky a webové stránky, ktoré prijímajú alebo hosťujú používateľom poskytovaný obsah alebo reklamy. Tieto webové stránky by mohli obsahovať špeciálne vytvorený obsah, ktorý by mohol zneužiť túto chybu zabezpečenia.

Aktualizácia zabezpečenia rieši túto chybu zabezpečenia úpravou spôsobu, akým skriptovací modul narába s objektmi v pamäti.

Nová aktívne využívaná chyba IE núti Microsoft opraviť Windows 7 znova

Pozadie: https://t.co/jWZqIwd1sd

Zdroj: https://t.co/AJ8jXwFDXA

- Technologické správy CK (@CKsTechNews) 21. februára 2020

Ako by sa mali používatelia systémov Windows 7 a Internet Explorer chrániť pred novoobjavenou chybou zabezpečenia?

Novoobjavená bezpečnostná chyba v programe Internet Explorer sa dá prekvapivo ľahko vykonať. Exploitáciu je možné spustiť pomocou akejkoľvek aplikácie, ktorá môže hostiť formát HTML, napríklad dokument alebo PDF. Aj keď sú používatelia Windows 7 a IE najzraniteľnejší, cieľom sú dokonca aj používatelia Windows 8.1 a Windows 10. Okrem týchto verzií operačného systému Windows spoločnosť Microsoft vydáva opravu pre Windows Server 2008, 2012 a 2019.

Je dosť pravdepodobné, že spoločnosť Microsoft mohla vydať nepovinnú aktualizáciu bezpečnostnej opravy na riešenie tejto chyby zabezpečenia. Spoločnosť Microsoft navyše dôrazne vyzýva všetkých používateľov operačného systému Windows 7 a Windows 8.1, aby inovovali na Windows 10. Spoločnosť stále povolila možnosť bezplatnej inovácie na Windows 10.

Microsoft má ponúkol bezpečnostné záplaty pre tieto nepodporované platformy v minulosti. Spoločnosť navyše ponúka program Extended Security Update alebo ESU. Dôrazne sa však odporúča inovovať na Windows 10 najskôr.