Nul
Vergeet niet wanneer u Internet Explorer gebruikt om te crashen zoals deze?
(Afbeelding via Dell.com)
Microsoft heeft een out-of-band beveiligingsupdate vandaag, 19 December, voor een beveiligingslek van Internet Explorer dat is momenteel misbruikt in het wild.
De OS maker gecrediteerd Clement Lecigne van Google Threat Analysis Group met het ontdekken en melden van de IE zero-day.
Ook: Waarom gratis Vpn ‘ s zijn niet een risico nemen waard
Volgens een security advisory uitgebracht op hetzelfde moment met de update pakket, de IE zero-day kan een aanvaller kwaadaardige code wordt uitgevoerd op de computer van een gebruiker.
Bijgehouden als CVE-2018-8653, dit zero-day kan worden benut in het web gebaseerde scenario ‘ s, waar een aanvaller lokt een gebruiker op een kwaadaardige site die draait kwaadaardige code op zijn computer.
Het probleem kan ook worden benut via toepassingen voor het inbedden van de IE-script-engine voor het renderen van web-based content –zoals de apps onderdeel van de Office suite.
Het goede nieuws is, volgens Microsoft, is dat de aanvaller zal voor de uitvoering van code, de rechten, overeenkomstig de rechten van het slachtoffer gebruiker heeft. Als het slachtoffer is met een account met beperkte toegang, kan de schade worden opgenomen om eenvoudige handelingen, zij het dat dit misschien genoeg zijn om te planten malware op de computer van een slachtoffer.
Echter, dingen zijn een beetje ingewikkelder. In de voorgaande vier maanden, heeft Microsoft gepatcht vier andere zero-days. Al deze zero-dagen kun je “misbruik van bevoegdheden.”
Ook: Cyber security: Uw baas niet schelen en dat is niet OK
Dit betekent dat als een slachtoffer heeft gemist van de vier voorgaande Windows-Patch dinsdag patches, kan een aanvaller de keten van de IE zero-day met een van de vorige zero-dagen (CVE-2018-8611, CVE-2018-8589, CVE-2018-8453, CVE-2018-8440) te krijgen op SYSTEEM-niveau toegang, en neem dan meteen een gerichte computer.
Dit is de reden waarom het is uiterst belangrijk dat gebruikers houden hun systemen up-to-date, met name met Microsoft ‘ s recente beveiligingsupdates.
Microsoft heeft vandaag KB4483187, KB4483230, KB4483234, KB 4483235, KB4483232, KB4483228, KB4483229, en KB4483187 aan het adres van de IE zero-day.
Moet lezen
Windows 10 gebruikers moeten wachten tot de meest recente update installeren TechRepublic
RSA Conference: Dit keer met meer vrouwen CNET
Met de vakantie van de winter komt snel voor veel IT-afdelingen, sommige beheerders kunnen niet de tijd voor het testen en implementeren van vandaag beveiligingsupdate.
Microsoft heeft geanticipeerd op dit ongemak, en de CVE-2018-8653 beveiligingsadvies bevat ook oplossingen voor het beperken van de toegang tot de IE-script-engine, tot systeembeheerders kunnen implementeren vandaag een officiële patch.
Microsoft Rand van de vennootschap, de nieuwste browser, wordt niet beïnvloed door deze zero-day.
Verwante artikelen:
Facebook bug blootgesteld eigen foto ‘s van 6,8 miljoen usersLogitech app lek toegestaan toetsaanslag injectie attacksSQLite bug effecten duizenden apps, inclusief alle Chroom-gebaseerd browsersBing raadt piraterij tutorial bij het zoeken naar Kantoor 2019Shamoon malware vernietigt gegevens op de italiaanse olie-en gasbedrijf’Bomb dreiging’ oplichters zijn nu dreigen om te gooien zuur voor de slachtoffers
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters
0