Online Solutions Oy:n tietoturva-asiantuntijat ovat löytäneet Microsoftin internet -selaimesta jo neljännen tietoturva-aukon puolen vuoden sisällä. Nyt havaitun aukon kautta ulkopuolisten on mahdollista asentaa internet-selaimen käyttäjien koneille ohjelmia, jotka tuhoavat mikrojen tietoja.
Online Solutions on ilmoittanut tietoturva-aukosta Microsoftille 21. toukokuuta ja Microsoft on ilmoittanut korjaustyön alkaneeksi. Ongelmaan ei ole toistaiseksi olemassa korjausta. Ainoa kiertotie tietoturvaongelmaan on estää Gopher -protokollan toiminta kokonaan selaimesta. Ohjeet!
Tietoturvaongelma koskee Online Solutionsin arvion mukaan kaikkia Microsoft Internet Explorer –ohjelman versioita aina uusimpaan 6.0 versioon viimeisimmillä päivityksillä varustettuna.
Ongelma liittyy Gopher-protokollan toteutukseen selaimessa. Gopher -tekniikan avulla verkossa pystytään jakamaan tekstimuotoista tietoa palvelimilta verkon käyttäjille. Gopher sivustot vastaavat hyvin pitkälle nykyisiä WWW-sivuja toiminnallisuudeltaan, mutta eivät sisällä multimediaa kuten kuvia, ääniä tai videota. Vaikkei Gopher-sivustoja ole juurikaan enää käytössä, tuetaan tekniikkaa kuitenkin vielä nykyisissä selaimissa ja Gopher on oletuksena selaimissa käytössä.
Aukon toiminta
Tietoturva-aukkoa hyödyntävä taho voi ohjata tavalliselta WWW-sivustolta selaimen käyttäjän normaalin linkin tai uudellenohjauksen avulla erilliselle Gopher-palvelimelle, joka hyödyntää tietoturva-aukkoa.
Tieturva-aukkoa hyödyntävä sivusto voi asentaa käyttäjän koneelle minkä tahansa ohjelman ilman varmistusta itse käyttäjältä ja suorittaa ohjelman koneella. Ohjelma voi esimerkiksi tuhota tietoja koneelta tai lähettää niitä eteenpäin verkossa.
Ohjelma voi myös asentaa koneeseen ns. takaportin jota käyttäen murtautuja voi myöhemmin kirjautua käyttäjän koneelle. Online Solutions Oy on jyväskyläläinen tietoturvan asiantuntijayritys. Yritys on erikoistunut internet-verkkojen ja sovellusten tietoturvaan.