Microsoft sender ut sikkerhetsoppdateringer for 'ikke-støttet' Windows 7 og alle eldre versjoner av Internet Explorer

Microsoft Windows 7 og Internet Explorer kan ha offisielt forlatt gratis supportvinduet, men plattformene fortsetter å motta oppdateringer for kritiske sikkerhetsproblemer som stadig dukker opp. Selskapet har nettopp sendt ut en sikkerhetsoppdatering for å beskytte PC-er fra en aktivt utnyttet JavaScript-motorfeil. Sikkerhetsfeilen kan potensielt tillate en ekstern angriper å utføre vilkårlig kode i sammenheng med den nåværende brukeren.

Microsoft har sendt ut en viktig sikkerhetsoppdatering ikke bare for Windows 7-operativsystemet, men også for flere versjoner av Internet Explorer. Mens Windows 7 lenge ble erstattet av Windows 8 og av Windows 10, ble IE erstattet av Microsoft Edge. Til tross for at de to plattformene er offisielt utenfor rekkevidden av gratis støtte, Microsoft har rutinemessig gjort unntak og sendt ut oppdateringer for å plugge sikkerhets smutthull som potensielt kan utnyttes å ta administrativ kontroll eller utføre kode eksternt.

Microsoft oppdaterer nytt og aktivt utnyttet sikkerhetsfeil i IE på Windows 7 OS:

En nylig oppdaget og aktivt utnyttet sikkerhetsfeil har blitt patchet av Microsoft. Sikkerhetsproblemet, offisielt merket som CVE-2020-0674, ble utnyttet i naturen. Microsoft har tilbudt flere detaljer om feilen. Den offisielle beskrivelsen av CVE-2020-0674 lyder som følger:

Det er et sikkerhetsproblem med ekstern kjøring av kode slik skriptmotoren håndterer objekter i minnet i Internet Explorer. Sårbarheten kan ødelegge minne på en slik måte at en angriper kan utføre vilkårlig kode i sammenheng med den nåværende brukeren. En angriper som vellykket utnyttet sårbarheten, kunne få samme brukerrettigheter som den nåværende brukeren. Hvis den nåværende brukeren er logget på med administrative brukerrettigheter, kan en angriper som vellykket utnyttet sårbarheten ta kontroll over et berørt system. En angriper kunne da installere programmer; se, endre eller slette data; eller opprett nye kontoer med full brukerrettighet.

I et nettbasert angrepsscenario kan en angriper være vert for et spesielt utformet nettsted som er designet for å utnytte sårbarheten gjennom Internet Explorer og deretter overbevise en bruker om å se nettstedet. En angriper kan også legge inn en ActiveX-kontroll merket som "sikker for initialisering" i et program eller Microsoft Office-dokument som er vert for IE-gjengivelsesmotoren. Angriperen kan også dra nytte av kompromitterte nettsteder og nettsteder som godtar eller er vert for brukerinnhold eller annonser. Disse nettstedene kan inneholde spesielt utformet innhold som kan utnytte sårbarheten.

Sikkerhetsoppdateringen løser sårbarheten ved å endre hvordan skriptmotoren håndterer objekter i minnet.

Hvordan skal brukere av Windows 7 og Internet Explorer beskytte seg mot det nylig oppdagede sikkerhetsproblemet?

Den nylig oppdagede sikkerhetsfeilen i Internet Explorer er overraskende enkel å utføre. Utnyttelsen kan utløses via et hvilket som helst program som kan være vert for HTML, for eksempel et dokument eller PDF. Selv om brukere av Windows 7 og IE er mest sårbare, blir selv Windows 8.1- og Windows 10-brukere målrettet. I tillegg til disse Windows OS-versjonene lanserer Microsoft en oppdatering for Windows Server 2008, 2012 og 2019.

Det er ganske sannsynlig at Microsoft kan ha utstedt en ikke-valgfri oppdatering av sikkerhetsoppdateringen for å løse sikkerhetsproblemet. Videre har Microsoft sterkt oppfordret alle brukere av Windows 7 og Windows 8.1 OS til å oppgradere til Windows 10. Selskapet har fortsatt tillatt gratis oppgradering til Windows 10-alternativet.

Microsoft har tilbød sikkerhetsoppdateringer for slike ikke-støttede plattformer i fortiden. Videre tilbyr selskapet utvidet sikkerhetsoppdatering eller ESU-program. Det anbefales imidlertid på det sterkeste å oppgradere til Windows 10 tidligst.