HP-eide TippingPoint Zero Day Initiative (ZDI)offentliggjorde i går detaljer om en nulldagssårbarhet (CVE-2014-1770) i Internet Explorer 8. Sårbarheten ble oppdaget i fjor høst og gjort kjent for Microsoft i oktober. I februar i år bekreftet Microsoft at selskapet har reprodusert sårbarheten, men noen sikkerhetsfiks har så langt ikke blitt varslet, til tross for at sårbarheten er av det alvorlige slaget.
Sårbarheten åpner nemlig for kjøring av vilkårlig kode på brukerens maskin. Det skal være tilstrekkelig at brukeren besøker en webside hvor angrepskoden finnes, eventuelt åpner en ondsinnet fil – for eksempel et e-postvedlegg.
Internet Explorer 8 er riktignok en gammel nettleser, men ifølge NetMarketshare er dette likevel den mest brukte IE-versjonen for tiden. Den brukes av omtrent 20 prosent av alle pc-brukere som NetMarketshare registrerte i april. Trolig er mange av disse brukere av Windows XP, siden IE8 er den nyeste IE-versjonen som er tilgjengelig for dette operativsystemet.
Riktignok sluttet Microsoft å gi ut sikkerhetsoppdateringer til Windows XP i april, men dette er en sårbarhet Microsoft på det tidspunktet hadde kjent til i omtrent et halvt år og dermed burde ha rukket å fjerne fra IE8 for alle Windows-utgaver.
– Vi bygger og tester grundig enhver sikkerhetsfiks som raskt som mulig. Noen sikkerhetsfikser er mer komplekse enn andre, og vi må teste enhver mot et enormt antall programmer, applikasjoner og ulike konfigurasjoner, sier en talsperson for Microsoft til CNET News. Vedkommende sier dog ingenting om hvorfor selskapet ennå ikke har kommet med nettopp denne sikkerhetsfiksen, bortsett fra at det foreløpig ikke er kjent at sårbarheten utnyttet i aktive angrep. Det kan fort endre seg.
180 dager
ZDI følger et regelverk som sier at leverandører har 180 dager på seg til å fjerne en sårbarhet før den blir offentliggjort. I dette tilfellet ble offentliggjøringen gjort betydelig på overtid. En måned etter tidsfristen skal Microsoft ha fått et varsel om at detaljene snart ville bli offentliggjort. Dette er to uker siden.
ZDI gjengir i offentliggjøringen også detaljer som Microsoft har kommet med om sårbarheten. Det fortelles at sårbarheten ikke berører IE8 på Windows-servere eller selskapets separate e-postapplikasjoner som bygger på Internet Explorer, fordi webinnhold der vises i det som kalles for «Restricted sites zone». I Windows XP og de nyere Windows-variantene hvor IE8 har blitt tilbudt og av ulike årsaker fortsatt blir brukt, er det i utgangspunktet ikke noe som hindrer utnyttelse av sårbarheten.
Fire alternativer
Microsoft anbefaler dog at brukere av IE8 setter innstillingene i Internett-sikkerhetssone til «Høy». Dette blokkerer ActiveX-kontroller og Active Scripting, men gjør samtidig nettleseren så godt som ubrukelig fordi JavaScript brukes så mye på weben.
Alternativt kan man konfigurere IE til å be om godkjennelse til å kjøre skript i hvert enkelt tilfelle. Men som nevnt, det er JavaScript på nesten alle websider, så det er tvilsomt om dette øker sikkerheten på noe vis.
Det tredje alternativet er å installere Enhanced Mitigation Experience Toolkit (EMET), som skal kunne hindre utnyttelse av sårbarheten.
Det fjerde alternativet, som ikke nevnes av Microsoft, men som nok er det beste for i alle fall Windows XP-brukerne, er å installere en annen nettleser og kun bruke denne.
I alle fall foreløpig er brukerne av Internet Explorer 8 nødt til å selv finne ut hvordan de best kan sikre seg mot potensiell utnyttelse av denne sårbarheten.
Leave a Reply