Internet Explorer narażony na atak. Zalecamy natychmiastową aktualizację
Co prawda w tym miesiącu Microsoft wydawał już biuletyny bezpieczeństwa i dodatkowe poprawki dla Windows 10, ale w usłudze Windows Update znajdziemy kolejną paczkę. Ta ma status krytycznej i dotyczy poważnej podatności odnalezionej w przeglądarce Internet Explorer. Zachęcamy jej natychmiastową instalację w celu zabezpieczenia systemu.
W przypadku najnowszego Windows 10 aktualizacja została oznaczona numerem KB3081444, znajdziemy w niej natomiast biuletyn bezpieczeństwa MS15-093. Oczywiście łatka jest dostarczana do wszystkich wspieranych systemów operacyjnych tj. od Windows Vista z dodatkiem Service Pack 2 i Internet Explorerem 7. Luka jest bardzo poważna i dotyczy także tych osób, które z przeglądarki Microsoftu w ogóle nie korzystają. W celu jej użycia atakujący może wykorzystać nie tylko spreparowaną stronę internetową, ale również np. e-mail w formacie HTML. Wystarczy, że odpowiednia treść zostanie załadowana przez silnik Internet Explorera, a ten jest wykorzystywany w wielu aplikacjach zewnętrznych.
Zgodnie z oficjalnym opisem Microsoftu, poprzez atak cyberprzestępca może uzyskać w systemie takie same uprawnienia, jak aktualnie zalogowany użytkownik. Jeżeli więc pracujemy na koncie administratora, umożliwi mu to modyfikowanie ustawień systemu i przejęcie kontroli nad komputerem. Korporacja daje wyraźnie do zrozumienia, że jednym z czynników obniżających ryzyko i ewentualne skutki ataku jest praca na koncie standardowym o ograniczonych uprawnieniach – jeżeli możemy sobie na to pozwolić, powinniśmy używać systemu Windows za pośrednictwem właśnie takiego konta. Do podnoszenia uprawnień służy natomiast mechanizm UAC. Dodatkowym zabezpieczeniem jest wykorzystywanie zestawu zaawansowanych narzędzi rozszerzonego środowiska ograniczającego ryzyko (EMET). Wystarczy, że będzie on chronił Internet Explorera, aby znacznie utrudnić przeprowadzenie tego typu ataku.
Znaleziona luka nie dotyczy nowej przeglądarki Microsoft Edge. Jeżeli więc korzystacie z systemu Windows 10, a nie jesteście zainteresowani aplikacjami firm trzecich, najlepszym wyjściem jest skorzystanie właśnie z niej. Choć aktualnie to przeglądarka prosta i uboga w kwestii funkcjonalności, nie posiada niektórych ze starszych elementów Internet Explorera (np. zgodności z ActiveX), co zmniejsza ryzyko ataku. Wspomniana podatność została zgłoszona przez Clementa Lecigne z firmy Google, tym razem Microsoft wydał poprawkę, zanim informacje o luce zostały upublicznione.
