Microsoft sender sikkerhedsopdateringer til 'ikke-understøttet' Windows 7 og alle ældre versioner af Internet Explorer

Microsoft Windows 7 og Internet Explorer har muligvis officielt forladt det gratis supportvindue, men platformene modtager fortsat programrettelser for kritiske sikkerhedssårbarheder, der stadig dukker op. Virksomheden har netop sendt en sikkerhedspatch ud for at beskytte pc'er mod en aktivt udnyttet JavaScript-motorfejl. Sikkerhedsfejlen kan muligvis tillade en fjernangriber at udføre vilkårlig kode i sammenhæng med den nuværende bruger.

Microsoft har sendt en vigtig sikkerhedsopdatering ikke kun til Windows 7-operativsystemet, men også til flere versioner af Internet Explorer. Mens Windows 7 længe blev erstattet af Windows 8 og af Windows 10, blev IE erstattet af Microsoft Edge. På trods af at de to platforme er officielt uden for fri support, Microsoft har rutinemæssigt lavet undtagelser og sendt patches ud til plug sikkerhedsmangler, der potentielt kan udnyttes at tage administrativ kontrol eller udføre kode eksternt.

Microsoft laver nyt og aktivt udnyttet sikkerhedsfejl i IE på Windows 7 OS:

En nyopdaget og aktivt udnyttet sikkerhedsfejl er blevet patchet af Microsoft. Sikkerhedssårbarheden, officielt mærket som CVE-2020-0674, blev udnyttet i naturen. Microsoft har tilbudt flere detaljer om fejlen. Den officielle beskrivelse af CVE-2020-0674 lyder som følger:

Der findes en sårbarhed med fjernudførelse af kode på den måde, at scriptmotoren håndterer objekter i hukommelsen i Internet Explorer. Sårbarheden kan ødelægge hukommelsen på en sådan måde, at en angriber kan udføre vilkårlig kode i forbindelse med den aktuelle bruger. En hacker, der med succes udnyttede sårbarheden, kunne få de samme brugerrettigheder som den nuværende bruger. Hvis den aktuelle bruger er logget på med administrative brugerrettigheder, kan en angriber, der med succes udnytter sårbarheden, tage kontrol over et berørt system. En hacker kunne derefter installere programmer; se, ændre eller slette data eller opret nye konti med fulde brugerrettigheder.

I et webbaseret angrebsscenarie kan en angriber være vært for et specielt udformet websted, der er designet til at udnytte sårbarheden via Internet Explorer og derefter overbevise en bruger om at se hjemmesiden. En hacker kunne også integrere en ActiveX-kontrol markeret som "sikker til initialisering" i et program eller Microsoft Office-dokument, der er vært for IE-gengivelsesmotoren. Angriberen kunne også drage fordel af kompromitterede websteder og websteder, der accepterer eller hoster brugerdefineret indhold eller reklamer. Disse websteder kan indeholde specielt udformet indhold, der kan udnytte sårbarheden.

Sikkerhedsopdateringen løser sårbarheden ved at ændre, hvordan scriptmotoren håndterer objekter i hukommelsen.

Hvordan skal Windows 7 og Internet Explorer-brugere beskytte sig mod den nyligt opdagede sikkerhedssårbarhed?

Den nyligt opdagede sikkerhedsfejl i Internet Explorer er overraskende let at udføre. Udnyttelsen kan udløses via ethvert program, der kan være vært for HTML, såsom et dokument eller PDF. Selvom Windows 7- og IE-brugere er mest sårbare, målrettes selv Windows 8.1- og Windows 10-brugere. Ud over disse Windows OS-versioner frigiver Microsoft en patch til Windows Server 2008, 2012 og 2019.

Det er meget sandsynligt, at Microsoft muligvis har udstedt en ikke-valgfri opdatering til sikkerhedspatch for at løse sikkerhedssårbarheden. Desuden har Microsoft kraftigt opfordret alle Windows 7 og Windows 8.1 OS-brugere til at opgradere til Windows 10. Virksomheden har stadig tilladt den gratis opgradering til Windows 10-indstillingen.

Microsoft har tilbød sikkerhedsrettelser til sådanne ikke-understøttede platforme i fortiden. Desuden tilbyder virksomheden programmet Extended Security Update eller ESU. Det anbefales dog stærkt tidligst at opgradere til Windows 10.