Microsoft lanserer sikkerhetsoppdatering for Internet Explorer
- Kategori: Internet Explorer
Microsoft lanserte 23. september 2019 en sikkerhetsoppdatering for nødssikkerhet for Internet Explorer for alle støttede versjoner av Windows.
Nødoppdateringen er bare tilgjengelig på nettstedet Microsoft Update Catalog i skrivende stund og ikke gjennom Windows Update eller WSUS.
Noen støtteartikler gir lite informasjon. Windows 10-oppdateringsbeskrivelsen sier ganske enkelt '
Oppdateringer for å forbedre sikkerheten når du bruker Internet Explorer uten å gå nærmere inn på det. Siden lenker til sikkerhetsoppdateringsguiden, som etter litt graving fører til CVE for sårbarheten.
Støttesiden for den kumulative oppdateringen for Internet Explorer tilbyr mer informasjon og en direkte lenke til CVE .
Det sier:
Denne sikkerhetsoppdateringen løser et sikkerhetsproblem i Internet Explorer. En sårbarhet for kjøring av ekstern kode eksisterer på den måten som skriptemotoren håndterer objekter i minnet i Internet Explorer. Sårbarheten kan ødelegge minnet på en slik måte at en angriper kan kjøre vilkårlig kode i sammenheng med den nåværende brukeren. Sikkerhetsoppdateringen løser sårbarheten ved å endre hvordan skriptemotoren håndterer objekter i minnet.
Den samme informasjonen er også gitt på CVE-siden. Microsoft bemerker at en angriper kan ta kontroll over det angrepne systemet hvis angrepet lykkes, noe som gjør at angriperen kan installere eller fjerne programmer, se, endre eller slette filer eller opprette nye brukerkontoer.
Sikkerhetsproblemet utnyttes aktivt i henhold til Microsoft; kan en angriper opprette et spesielt forberedt nettsted for å utnytte problemet i Internet Explorer.
Microsoft publiserte en løsning for å beskytte systemer hvis de utgitte oppdateringene ikke kan installeres på dette tidspunktet. Løsningen kan redusere funksjonaliteten 'for komponenter eller funksjoner som er avhengige av jscript.dll'.
Kommandoene må kjøres fra en forhøyet ledetekst.
Løsning for 32-biters systemer:
- takeown / f% windir% system32 jscript.dll
- cacls% windir% system32 jscript.dll / E / P alle: N
Løsning for 64-biters systemer:
- takeown / f% windir% syswow64 jscript.dll
- cacls% windir% syswow64 jscript.dll / E / P alle: N
- takeown / f% windir% system32 jscript.dll
- cacls% windir% system32 jscript.dll / E / P alle: N
Løsningen kan angre ved å kjøre følgende kommandoer fra en hevet ledetekst:
Angre 32-bit:
- cacls% windir% system32 jscript.dll / E / R alle sammen
Angre 64-bit
- cacls% windir% system32 jscript.dll / E / R alle sammen
- cacls% windir% syswow64 jscript.dll / E / R alle sammen
Liste over oppdateringer som løser sikkerhetsproblemet:
- Windows 10 versjon 1903: KB4522016
- Windows 10 versjon 1809 og Server 2019: KB4522015
- Windows 10 versjon 1803: KB4522014
- Windows 10 versjon 1709: KB4522012
- Windows 10 versjon 1703: KB4522011
- Windows 10 versjon 1607 og Server 2016: KB4522010
- Kumulativ IE-oppdatering for eldre versjoner av Windows: KB4522007
Hva med Windows-oppdateringer?
Microsoft har ikke gitt ut oppdateringen via Windows Update eller WSUS. Susan Bradley notater at selskapet kunne gi ut oppdateringen 24. september 2019 via Windows Update og WSUS, men det er ikke bekreftet av Microsoft.
Det er litt rart at Microsoft gir ut en sikkerhetsoppdatering utenfor bandet som løser et problem som blir utnyttet i naturen, men velger å gi den ut som en oppdatering som bare må lastes ned og installeres manuelt.
Lukkende ord
Bør eller bør du ikke installere oppdateringen med en gang? Det er en sikkerhetsoppdatering, men den er bare tilgjengelig på nettstedet Microsoft Update Catalog i skrivende stund.
Jeg vil fortsatt anbefale å installere det, men du bør opprette en sikkerhetskopi av systemet, f.eks. ved hjelp av Macrium Reflect eller Paragon Sikkerhetskopiering og gjenoppretting gratis , før du gjør det, som man aldri vet i disse dager, oppdateringer introduserer uønskede bivirkninger eller problemer i seg selv.
Nå du : installer eller vent, hva er din posisjon?