Microsoft släpper säkerhetsuppdatering för Internet Explorer
- Kategori: Internet Explorer
Microsoft släppte en out-of-band säkerhetsuppdatering för Internet Explorer den 23 september 2019 för alla versioner av Windows som stöds.
Nöduppdateringen är endast tillgänglig på webbplatsen för Microsoft Update Catalog när den skrivs och inte via Windows Update eller WSUS.
Vissa supportartiklar ger lite information. Uppdateringsbeskrivningen i Windows 10 säger helt enkelt '
Uppdateringar för att förbättra säkerheten när du använder Internet Explorer 'utan att gå i detalj. Sidan länkar till säkerhetsuppdateringsguiden som, efter en grävning, leder till CVE för sårbarheten.
Stödssidan för den kumulativa uppdateringen för Internet Explorer erbjuder mer information och en direktlänk till CVE .
Det står:
Den här säkerhetsuppdateringen löser en sårbarhet i Internet Explorer. En sårbarhet för exekvering av extern kod existerar på det sätt som skriptmotorn hanterar objekt i minnet i Internet Explorer. Sårbarheten kan skada minnet på ett sådant sätt att en angripare kan köra godtycklig kod i samband med den aktuella användaren. Säkerhetsuppdateringen åtgärdar sårbarheten genom att ändra hur skriptmotorn hanterar objekt i minnet.
Samma information finns också på CVE-sidan. Microsoft noterar att en angripare kan ta kontroll över det angripna systemet om attacken lyckas vilket skulle göra det möjligt för angriparen att installera eller ta bort program, visa, ändra eller ta bort filer eller skapa nya användarkonton.
Säkerhetsfrågan utnyttjas aktivt enligt Microsoft; kan en angripare skapa en speciellt beredd webbplats för att utnyttja problemet i Internet Explorer.
Microsoft publicerade en lösning för att skydda system om de utgivna uppdateringarna inte kan installeras vid denna punkt. Lösningen kan minska funktionaliteten 'för komponenter eller funktioner som är beroende av jscript.dll'.
Kommandona måste köras från en upphöjd kommandotolk.
Lösning för 32-bitars system:
- takeown / f% windir% system32 jscript.dll
- cacls% windir% system32 jscript.dll / E / P alla: N
Lösning för 64-bitars system:
- takeown / f% windir% syswow64 jscript.dll
- cacls% windir% syswow64 jscript.dll / E / P alla: N
- takeown / f% windir% system32 jscript.dll
- cacls% windir% system32 jscript.dll / E / P alla: N
Lösningen kan ångras genom att köra följande kommandon från en upphöjd kommandotolk:
Ångra 32-bitars:
- cacls% windir% system32 jscript.dll / E / R alla
Ångra 64-bitars
- cacls% windir% system32 jscript.dll / E / R alla
- cacls% windir% syswow64 jscript.dll / E / R alla
Lista över uppdateringar som åtgärdar sårbarheten:
- Windows 10 version 1903: KB4522016
- Windows 10 version 1809 och Server 2019: KB4522015
- Windows 10 version 1803: KB4522014
- Windows 10 version 1709: KB4522012
- Windows 10 version 1703: KB4522011
- Windows 10 version 1607 och Server 2016: KB4522010
- Kumulativ IE-uppdatering för äldre versioner av Windows: KB4522007
Vad sägs om Windows-uppdateringar?
Microsoft har inte släppt uppdateringen via Windows Update eller WSUS. Susan Bradley anteckningar att företaget kunde släppa uppdateringen den 24 september 2019 via Windows Update och WSUS men det har inte bekräftats av Microsoft.
Det är lite förbryllande att Microsoft släpper en säkerhetsuppdatering utanför bandet som hanterar ett problem som utnyttjas i naturen men väljer att släppa den som en uppdatering som bara behöver laddas ner och installeras manuellt.
Stängande ord
Bör eller ska du inte installera uppdateringen direkt? Det är en säkerhetsuppdatering men den är endast tillgänglig via webbplatsen för Microsoft Update Catalog när det skrivs.
Jag skulle fortfarande rekommendera att du installerar det men du bör skapa en säkerhetskopia av systemet, t.ex. använder sig av Macrium Reflect eller Paragon Backup & Recover Free , innan du gör det som man aldrig vet i dessa dagar uppdateringar introducerar oönskade biverkningar eller egna problem.
Nu du : installera eller vänta, vad är din position?