US-CERT eli Yhdysvaltojen tietoturvavirasto ilmoitti Internet Explorerin haavoittuvuudesta CVE-2020-0674, jota käytetään jo hyökkäyksissä.

Suomen Kyberturvallisuuskeskuksen mukaan aukko koskee Internet Explorer -selaimen skriptit suorittavaa komponenttia (scripting engine). Hyökkääjä voi ajaa haittakoodia käyttäjän oikeuksilla selaimessa.

”Onnistuessaan hyökkääjä voi saada kyseisen käyttäjän käyttöoikeudet. Mikäli uhri käyttää esimerkiksi haavoittuvaa IE-selainta pääkäyttäjänä, haavoittuvuutta onnistuneesti hyväksikäyttänyt hyökkääjä saa samat oikeudet”, Kyberturvallisuuskeskus sanoo.

Microsoftin mukaan kaikki Windows-versiot ovat haavoittuvaisia. Toistaiseksi reikään ei ole vielä paikkausta.

TechCrunchille Microsoftin edustaja sanoi, että yhtiö kehittää korjausta, mutta se julkaistaan todennäköisesti vasta seuraavan kuukausittaisen päivityspaketin myötä 11. helmikuuta.

Windows 7:n ei ole enää tästä viikosta lähtien Microsoftin tieturvapäivitysten tuen piirissä, paitsi joillakin yritysasiakkailla lisämaksusta. Yhtiö on yrittänyt vuosia viestiä käyttäjille, että Windows 7 on tullut tiensä päähän ja näiden tulisi päivittää uudempaan Windows 10:een.