Microsoft brengt een noodbeveiligingsupdate voor Internet Explorer uit

• Categorie: Internet Explorer

Probeer Ons Instrument Voor Het Oplossen Van Problemen

Selecteer Het Besturingssysteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Kies Een Projectieprogramma (Optioneel) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschrijf Uw Probleem

Krijg Een Antwoord

Stuur Me Per E -Mail Toon Op De Site

Microsoft heeft op 23 september 2019 een out-of-band noodbeveiligingsupdate voor Internet Explorer uitgebracht voor alle ondersteunde versies van Windows.

De noodupdate is op het moment van schrijven alleen beschikbaar op de Microsoft Update Catalog-website en niet via Windows Update of WSUS.

Sommige ondersteuningsartikelen bieden weinig informatie. In de update-beschrijving van Windows 10 staat simpelweg '
Updates om de beveiliging bij het gebruik van Internet Explorer te verbeteren zonder verder in detail te treden. De pagina linkt naar de Security Update Guide die, na enig graven, leidt naar de CVE van de kwetsbaarheid.

De ondersteuningspagina voor de cumulatieve update voor Internet Explorer biedt meer informatie en een directe link naar het CVE .

Er staat:

Deze beveiligingsupdate verhelpt een kwetsbaarheid in Internet Explorer. Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code door de manier waarop de script-engine objecten in het geheugen in Internet Explorer verwerkt. Het beveiligingslek kan het geheugen zodanig beschadigen dat een aanvaller willekeurige code kan uitvoeren in de context van de huidige gebruiker. De beveiligingsupdate lost het beveiligingslek op door de manier te wijzigen waarop de script-engine objecten in het geheugen verwerkt.

Dezelfde informatie staat ook op de CVE-pagina. Microsoft merkt op dat een aanvaller de controle over het aangevallen systeem kan overnemen als de aanval slaagt, waardoor de aanvaller programma's kan installeren of verwijderen, bestanden kan bekijken, wijzigen of verwijderen of nieuwe gebruikersaccounts kan maken.

Het beveiligingsprobleem wordt volgens Microsoft actief uitgebuit; een aanvaller kan een speciaal voorbereide website maken om het probleem in Internet Explorer te misbruiken.

Microsoft heeft een tijdelijke oplossing gepubliceerd om systemen te beschermen als de uitgebrachte updates op dit moment niet kunnen worden geïnstalleerd. De tijdelijke oplossing kan de functionaliteit verminderen 'voor componenten of functies die afhankelijk zijn van jscript.dll'.

De opdrachten moeten worden uitgevoerd vanaf een opdrachtprompt met verhoogde bevoegdheid.

Tijdelijke oplossing voor 32-bits systemen:

• takeown / f% windir% system32 jscript.dll
• cacls% windir% system32 jscript.dll / E / P iedereen: N

Tijdelijke oplossing voor 64-bits systemen:

• takeown / f% windir% syswow64 jscript.dll
• cacls% windir% syswow64 jscript.dll / E / P iedereen: N
• takeown / f% windir% system32 jscript.dll
• cacls% windir% system32 jscript.dll / E / P iedereen: N

De tijdelijke oplossing kan ongedaan worden gemaakt door de volgende opdrachten uit te voeren vanaf een opdrachtprompt met verhoogde bevoegdheid:

32-bits ongedaan maken:

• cacls% windir% system32 jscript.dll / E / R iedereen

Maak 64-bits ongedaan

• cacls% windir% system32 jscript.dll / E / R iedereen
• cacls% windir% syswow64 jscript.dll / E / R iedereen

Lijst met updates die de kwetsbaarheid verhelpen:

• Windows 10 versie 1903: KB4522016
• Windows 10 versie 1809 en Server 2019: KB4522015
• Windows 10 versie 1803: KB4522014
• Windows 10 versie 1709: KB4522012
• Windows 10 versie 1703: KB4522011
• Windows 10 versie 1607 en Server 2016: KB4522010
• Cumulatieve IE-update voor oudere versies van Windows: KB4522007

Hoe zit het met Windows Updates?

Microsoft heeft de update niet uitgebracht via Windows Update of WSUS. Susan Bradley notities dat het bedrijf de update op 24 september 2019 via Windows Update en WSUS kon uitbrengen maar dat is niet bevestigd door Microsoft.

Het is een beetje verwarrend dat Microsoft een out-of-band beveiligingsupdate uitbrengt die een probleem oplost dat in het wild wordt misbruikt, maar ervoor kiest om het uit te geven als een update die alleen handmatig moet worden gedownload en geïnstalleerd.

Afsluitende woorden

Moet je de update wel of niet meteen installeren? Het is een beveiligingsupdate, maar is op het moment van schrijven alleen beschikbaar via de Microsoft Update Catalog-website.

Ik zou nog steeds aanraden het te installeren, maar je moet een systeemback-up maken, bijv. gebruik makend van Macrium Reflect of Paragon Backup & Recover gratis , voordat je dit doet, zoals je tegenwoordig nooit weet, introduceren updates ongewenste bijwerkingen of hun eigen problemen.

Nu jij : installeer of wacht, wat is uw positie?