Security Bulletin MS10-018, czyli nie używać starych przeglądarek
Dotyczy m.in. ostatniego Microsoft Security Advisory: (KB)981374. Microsoft wczoraj wypuscil Biuletyn Bezpieczenstwa podsumowujacy ostatnie wydarzenia zwiazane z przegladarka Internet Explorer, dodatkowo zostala wypuszczona zbiorcza aktualizacja dla ostatnich dziewieciu luk w IE. Uzytkownicy domowi otrzymali juz zapewne komunikat o dostepnych aktualizacjach:
Rysunek1. Nie zastanawiac sie tylko instalowac.
Kto jest bezpieczny, a kto jest zagrozony?
Ponizsza tabela przedstawia skutecznosc wykorzystania podatnosci opisanych w https://cve.mitre.org/.
Rysunek2. Podatnosci i przgladarki [Zródlo: MSRC blog].
Microsoft opublikowal szczególowa tabele (rozdzial: Informacje o luce w zabezpieczeniach –> Wskazniki waznosci i identyfikatory luk) zaleznosci: przegladarka, system, podatnosc w swoim najnowszym biuletynie.
Dla wiekszosci podatnosci podstawowa ochrona jest aktualizacja przegladarki i wlaczenie Protected Mode (o Protected Mode pisalam tutaj), istnieja jednak dwie luki w IE8, obok których nie mozna przejsc obojetnie:
Kazda z nich bazuje na podatnosciach zwiazanych z zarzadzaniem pamiecia przez przegladarke – techniczny opis podatnosci umieszcze w kolejnym poscie (aktualnie weryfikuje, czy faktycznie zmiana uprawnien dla iepeers.dll ogranicza pole ataku). Podobny mechanizm wykorzystania luk bezpieczenstwa (w zakresie wykorzystania pamieci) opisalam tutaj.
Autor: Paula Januszkiewicz [MVP]