Microsoft julkaisee Internet Explorerin hätäpäivityksen
- Luokka: Internet Explorer
Microsoft julkaisi kaistan ulkopuolisen Internet Explorer -turvapäivityksen 23. syyskuuta 2019 kaikille tuetuille Windows-versioille.
Hätäpäivitys on saatavana vain Microsoft Update Catalog -sivustolla kirjoittamisen ajankohtana, ei Windows Update- tai WSUS-palvelun kautta.
Jotkut tukiartikkelit tarjoavat vain vähän tietoa. Windows 10 -päivityksen kuvauksessa todetaan vain '
Päivitykset turvallisuuden parantamiseksi Internet Exploreria käytettäessä 'syventämättä tarkemmin. Sivu linkittää tietoturvapäivityksen oppaaseen, joka kaivamisen jälkeen johtaa haavoittuvuuden CVE: hen.
Internet Explorerin kumulatiivisen päivityksen tukisivu tarjoaa lisätietoja ja suoran linkin CVE .
Se toteaa:
Tämä tietoturvapäivitys korjaa Internet Explorerin haavoittuvuuden. Koodin etäsuorittamisen haavoittuvuus on olemassa siinä muodossa, että komentosarjamoottori käsittelee muistin kohteita Internet Explorerissa. Haavoittuvuus voi vioittaa muistia siten, että hyökkääjä voi suorittaa mielivaltaisen koodin nykyisen käyttäjän yhteydessä. Tietoturvapäivitys korjaa haavoittuvuuden muuttamalla tapaa, jolla komentosarjamoottori käsittelee muistissa olevia objekteja.
Samat tiedot löytyvät myös CVE-sivulta. Microsoft huomauttaa, että hyökkääjä voi ottaa hyökkäyksen kohteena olevan järjestelmän hallintaan, jos hyökkäys onnistuu, jolloin hyökkääjä voi asentaa tai poistaa ohjelmia, katsella, muuttaa tai poistaa tiedostoja tai luoda uusia käyttäjätilejä.
Microsoftin mukaan tietoturvakysymystä hyödynnetään aktiivisesti; hyökkääjä voi luoda erityisesti valmistetun verkkosivuston hyödyntääksesi asiaa Internet Explorerissa.
Microsoft julkaisi ratkaisun järjestelmien suojaamiseksi, jos julkaistuja päivityksiä ei voida asentaa tässä vaiheessa. Kiertotapa voi vähentää niiden komponenttien tai ominaisuuksien toimivuutta, jotka luottavat jscript.dll: ään.
Komennot täytyy suorittaa kohotetusta komentokehotteesta.
Kiertotapa 32-bittisille järjestelmille:
- takeown / f% windir% system32 jscript.dll
- cacls% windir% system32 jscript.dll / E / P kaikki: N
Kiertotapa 64-bittisille järjestelmille:
- takeown / f% windir% syswow64 jscript.dll
- cacls% windir% syswow64 jscript.dll / E / P kaikki: N
- takeown / f% windir% system32 jscript.dll
- cacls% windir% system32 jscript.dll / E / P kaikki: N
Kiertotapa voidaan kumota suorittamalla seuraavat komennot kohotetusta komentokehotteesta:
Kumoa 32-bittinen:
- cacls% windir% system32 jscript.dll / E / R kaikille
Kumoa 64-bittinen
- cacls% windir% system32 jscript.dll / E / R kaikille
- cacls% windir% syswow64 jscript.dll / E / R kaikille
Luettelo päivityksistä, jotka korjaavat haavoittuvuuden:
- Windows 10 -versio 1903: KB4522016
- Windows 10 -versio 1809 ja Server 2019: KB4522015
- Windows 10 -versio 1803: KB4522014
- Windows 10 -versio 1709: KB4522012
- Windows 10 -versio 1703: KB4522011
- Windows 10 -versio 1607 ja Server 2016: KB4522010
- Kumulatiivinen IE-päivitys vanhemmille Windows-versioille: KB4522007
Entä Windows Updates?
Microsoft ei ole julkaissut päivitystä Windows Updaten tai WSUS: n kautta. Susan Bradley muistiinpanot että yritys voisi julkaista päivityksen 24. syyskuuta 2019 Windows Update: n ja WSUS: n kautta, mutta Microsoft ei ole vahvistanut sitä.
On hiukan hämmentävää, että Microsoft julkaisee kaistan ulkopuolisen tietoturvapäivityksen, joka korjaa ongelmaa, jota hyödynnetään luonnossa, mutta päättää julkaista sen päivityksenä, joka on ladattava ja asennettava vain manuaalisesti.
Loppu sanat
Pitäisikö sinun asentaa päivitys heti? Se on tietoturvapäivitys, mutta se on saatavana vain Microsoft Update Catalog -sivustolla kirjoittamishetkellä.
Suosittelen silti sen asentamista, mutta sinun pitäisi luoda järjestelmän varmuuskopio, esim. käyttämällä Macrium heijastaa tai Paragon varmuuskopiointi ja palauttaminen ilmaiseksi , ennen kuin teet niin, koska kukaan ei tiedä nykyään päivitykset tuovat esiin ei-toivottuja sivuvaikutuksia tai omia ongelmia.
Nyt sinä : asenna tai odota, mikä on kanssasi?