Link kopeeritud!

Internet Exploreri kõigis uutes versioonides on ohtlik ja parandamata turvaauk

 (2)
Internet Exploreri kõigis uutes versioonides on ohtlik ja parandamata turvaauk
EPL

Hoolimata vastupidistest väidetest meedias, on Internet Exploreri kõigis uuemates versioonides ohtlik ja seni parandamata turvaauk.

15. jaanuaril saatis Saksamaa infoturbe amet (Bundesamt für Sicherheit in der Informationstechnik - BSI) välja pressiteate kõigis uutes Internet Exploreri versioonides esineva turvavea kohta. Amet soovitas Internet Exploreri kasutajatel kuni selle vea ametliku parandamiseni kasutada mõnda teist internetisirvijat.

BSI põhjendas oma soovitust avastatud vea ohtlikkusega. Ka Internet Exploreri (IE) tootja Microsoft tunnistab, et see viga esineb pea kõigis Internet Exploreri tänapäeval kasutatavates versioonides. Mõjutatud on nii IE6, IE7 kui ka brauseri uusim versioon IE8.

Infoturbega tegeleva Taani ettevõtte Secunia andmetel on Internet Exploreri viga eriti ohtlik, klassifitseerudes nende skaalal kõige tõsisemaks turvaveaks ("Extremely Critical"). See tähendab, et küberkurjategijatel on võimalik seda viga ära kasutada eemalt, üle interneti ning selle abil käivitada ohvriks langenud arvutis oma programme. Nõnda toimiti hiljutistes rünnakutes mitmete suurettevõtete, sh Google vastu. Teise infoturbefirma McAfee andmetel on seda viga kasutatud vähemalt kolmekümne erineva ettevõtte vastu.

Vea ärakasutamiseks piisab vaid sellest, kui Internet Exploreri kasutaja külastab pahaaimamatult mõnda veebilehte - ta ei pruugi ise ühtegi programmi installeerida ega midagi kahtlast avada. Seejuures ei pruugi veebileht olla ka üldse mitte ebamoraalse või muudmoodi kahtlase sisuga. Nõnda on kasutajal endal peaaegu võimatu ohvriks langemist ennetada.

Mida pahategija "vallutatud" arvutiga ette võtab, sõltub tema eesmärkidest. Arvutit võib kasutada ründes kellegi teise vastu (sh küberrünnakutes). Samahästi võib aga ohvriks ollagi arvuti omanik ise, sest sissetungija saab ligipääsu tema arvutis salvestatud andmetele.

Microsoft on ametlikult soovitanud kasutajatel seada oma Internet Exploreri turvalisusseaded kõige kõrgemale tasemele (seda saab teha näiteks Tools-Internet Options-Security alt), kuid ka see ei välista BSI andmetel vea ärakasutamist (tehes selle siiski mõnevõrra keerulisemaks).

Microsoft ei ole praeguseks veel suutnud antud viga oma brauseris parandada ning ka Secunia hoiatab, et seda viga ekspluateeritakse küberkurjategijate poolt hoolega. Seetõttu soovitabki Saksa infoturbe amet "sinise E-na" tuntud brauserit seniks mitte kasutada.

Kuniks too viga parandatud saab, on heaks alternatiiviks kasvõi vabavaraline brauser Mozilla Firefox. Selle eeliseks on brauserisse sisse-ehitatud uuendusmehhanism, mistõttu kõikvõimalikud veaparandused saavad peale valmimist ka kiiresti kasutajate arvutisse installeeritud ning vigade ärakasutamise oht kurikaelte poolt väheneb tunduvalt.

Selle informatsiooni valguses tuleb ümber lükata ka täna Eesti Päevalehes ilmunud RIA töötaja Hillar Aarelaiu väited, justkui oleksid turvaaugud nii igapäevased, et neile ei pea erilist tähelepanu pöörama.

Küll peaks endale tuhka pähe raputama Microsofti Eesti esindus, kes täiesti avalikult väitis teises täna sel teemal ilmunud artiklis, justkui Internet Exploreri uusimas versioonis nimetatud turvaviga ei esineks ning haavatavad on vaid vana kuuenda versiooni kasutajad. Siinkohal on tegu tõe väänamisega. Microsofti peakorter möönab samuti, et nende teada on seni ära kasutatud vaid neid arvuteid, kus on installeeritud programmi kuues versioon, kuid tunnistab täiesti avalikult, et haavatavad on pea kõik Internet Exploreri kasutuses olevad versioonid (IE6, IE7 ja IE8).