Phenquestions
Microsoft publicerade en ny säkerhetsbulletin utanför bandet idag som informerar om en nyligen upptäckt kritisk säkerhetsproblem i företagets Internet Explorer-webbläsare.
Sårbarheten, som redan utnyttjas i naturen enligt företaget, påverkar Internet Explorer 7 till 11 på klient- och serveroperativsystem. Microsoft Edge, standardwebbläsaren Windows 10, visas inte på sidan och påverkas därför inte av sårbarheten.
Sårbarheten bedöms vara kritisk för alla klientoperativsystem och måttlig för alla serveroperativsystem i företaget.
Microsoft släppte korrigeringar för alla berörda (och stödda) versioner av Windows. Dessa korrigeringar är redan tillgängliga via Windows Update och via Microsofts nedladdningscenter.
Uppdateringen listas som "kumulativ uppdatering för Windows 10 (KB3081444)" för Windows 10-system och listas med koden KB3087985 på tidigare versioner av Windows. Uppdateringen KB3078071 är en förutsättning för den uppdateringen i Windows 8.1 och 7 och Windows Server 2008 R2 och 2012 R2.
Angripare kan utnyttja sårbarheten på olika sätt, till exempel genom att skapa webbsidor som utnyttjar sårbarheten, HTML-e-post eller webbannons. Allt som behövs för att utlösa sårbarheten är att detta innehåll laddas i en påverkad version av Internet Explorer, en interaktion med webbplatsen krävs inte förutom det.
Angripare får samma rättigheter som den nuvarande användaren på systemet. Om den inloggade användaren har administrativa rättigheter är en fullständig övertagning av systemet möjlig eftersom det skulle göra det möjligt för angriparen att ändra systeminställningar, skapa eller ändra användarkonton, installera eller ta bort programvara och mer.
Microsoft nämner två förmildrande faktorer i säkerhetsrådgivningen. En icke-administrativ användarnivå för den inloggade användaren kan påverka effekten på systemet. Dessutom hjälper Microsoft EMET, företagets Enhanced Mitigation Experience Toolkit, att mildra attacken enligt Microsoft förutsatt att den är korrekt konfigurerad för att fungera med Internet Explorer-webbläsaren.
Nedladdningslänkar för alla operativsystem som stöds listas på säkerhetsbulletinsidan på Microsofts webbplats. För att ladda ner uppdateringen manuellt, leta reda på den installerade versionen av Internet Explorer under den berörda programvaran och klicka på länken bredvid operativsystemet den dator vi kör på.
Detta är den andra nödplåstret som släppts under de senaste veckorna. Microsoft släppte bulletin MS15-078 i slutet av juli för alla operativsystem som stöds som hanterar en kritisk sårbarhet i Microsoft Font Driver.
