Pages

Rabu, 01 September 2010

Jangan tekan tombol F1 pada Windows XP

Microsoft mengatakan Windows XP pengguna saat ini tidak untuk menekan tombol F1 saat diminta oleh situs Web, sebagai bagian dari reaksi terhadap kerentanan yang unpatched hacker bisa mengeksploitasi untuk membajak PC yang menjalankan Internet Explorer (IE).
Dalam pernyataan yang telah dikeluarkan, Microsoft mengkonfirmasi bug dalam unpatched VBScript yang disampaikan oleh peneliti dari Maurycy Prodeus Polandia yang  juga menawarkan informasi lebih lanjut tentang cacat dan memberikan beberapa saran tentang bagaimana melindungi PC sampai patch baru dikeluarkan.
Kerentanan ada dalam cara VBScript berinteraksi dengan Windows Help file saat menggunakan Internet Explorer. Jika situs Web berbahaya menampilkan sebuah kotak dialog dibuat khusus dan pengguna menekan tombol F1, kode sewenang-wenang dapat dijalankan dalam konteks keamanan yang sedang log-on pengguna.

Prodeus menyebutkan bug yang “cacat logika” dan mengatakan para penyerang dapat memanfaatkannya dengan memberi  pengguna kode berbahaya yang menyamar sebagai file help Windows – file tersebut memiliki “. Hlp” extension – lalu meyakinkan mereka untuk tekan kunci ketika sebuah pop-up muncul.
Windows 2000, Windows XP dan Windows Server 2003 merupakan software yang terkena dampak dari bug, kata Microsoft, dan yang didukung versi Internet Explorer (IE) di sistem operasi tersebut – termasuk IE6 pada Windows XP – dapat leveraged oleh penyerang.
Microsoft menganjurkan, sampai sebuah patch siap, pengguna dapat melindungi diri mereka sendiri dengan tidak menekan tombol F1 jika sebuah situs Web untuk memberitahu mereka.
Sebagai solusi sementara, pengguna disarankan untuk menghindari menekan F1 pada dialog yang disajikan dari halaman web atau konten Internet lainnya,” kata David Ross dengan Microsoft Security Response Center (MSRC) staf teknik dalam sebuah blog entri pada hari Senin.
The prompt bisa muncul berulang kali ketika ditutup, mengganggu pengguna menekan tombol F1,” tambah Ross.
Analisis memperlihatkan bahwa jika pengguna tidak menekan tombol F1 pada keyboard, kerentanan tidak dapat dieksploitasi. Pengguna juga dapat menghalang serangan dengan menonaktifkan Windows Help.
Microsoft khawatir bahwa kerentanan ini tidak bertanggung jawab diungkapkan, menempatkan pelanggan potensial beresiko,” kata Jerry Bryant, seorang manajer senior dengan MSRC.
Microsoft tidak menetapkan batas waktu untuk sebuah perbaikan, hanya mengatakan bahwa, “Microsoft akan mengambil tindakan yang tepat untuk membantu melindungi para pelanggan kami. Dijadwalkan berikutnya tanggal patch keamanan untuk perusahaan 9 Maret.
Microsoft mencatat bahwa hacker mengeksploitasi kelemahan VBScript menggunakan Windows Bantuan dan Internet Explorer bisa meraih kendali penuh atas sistem Windows.
Microsoft mengatakan, pelanggan yang menjalankan Windows Vista, Windows Server 2008, Windows 7 atau Windows Server 2008 R2 yang aman dari serangan tersebut.
Jadi berhati-hatilah menggunakan I.E dalam browsing.

0 komentar:

Posting Komentar