da Martin Brinkmann il 24 settembre 2019 a Internet Explorer, Sicurezza – 7 commenti
Microsoft ha rilasciato un out-of-band di emergenza aggiornamento della protezione per Internet Explorer e il 23 settembre 2019 per tutte le versioni supportate di Windows.
L’aggiornamento di emergenza è disponibile solo sul sito web Microsoft Update Catalog, al momento della scrittura, e non tramite Windows Update o WSUS.
Alcuni articoli di supporto forniscono poche informazioni. Windows 10 descrizione aggiornamento semplicemente stati “
Aggiornamenti per migliorare la sicurezza quando si utilizza Internet Explorer” senza entrare in ulteriori dettagli. Il link alla pagina dell’Aggiornamento della Sicurezza di Guida che, dopo un po ‘ scavare, conduce al CVE della vulnerabilità.
La pagina di supporto per l’aggiornamento cumulativo per Internet Explorer offre ulteriori informazioni e un link diretto al CVE.
Essa afferma che:
Questo aggiornamento per la protezione risolve una vulnerabilità in Internet Explorer. Una vulnerabilità legata all’esecuzione di codice remoto esiste nel modo in cui il motore di script gestisce gli oggetti nella memoria in Internet Explorer. La vulnerabilità potrebbe danneggiare la memoria in modo da consentire a un utente malintenzionato di eseguire codice arbitrario nel contesto dell’utente corrente. L’aggiornamento per la protezione risolve la vulnerabilità modificando il modo in cui il motore di script gestisce gli oggetti nella memoria.
Le stesse informazioni sono fornite sul CVE pagina. Microsoft sottolinea che un utente malintenzionato potrebbe assumere il controllo del sistema attaccato se l’attacco riesce, il che dovrebbe consentire ad un aggressore di installare o rimuovere programmi, visualizzare, modificare o eliminare file o creare nuovi account utente.
Il problema di sicurezza è sfruttata attivamente, secondo Microsoft, un utente malintenzionato può creare un appositamente preparati sito web per sfruttare il problema di Internet Explorer.
Microsoft ha pubblicato una soluzione per la protezione di sistemi se l’aggiornamento non può essere installato, a questo punto. La soluzione potrebbe ridurre la funzionalità “per componenti o funzioni che si basano su jscript.dll”.
I comandi devono essere eseguiti da un prompt dei comandi.
Soluzione per sistemi a 32 bit:
- takeown /f %windir%system32jscript.dll
- cacls %windir%system32jscript.dll /E /P a tutti:N
Soluzione per sistemi a 64 bit:
- takeown /f %windir%syswow64jscript.dll
- cacls %windir%syswow64jscript.dll /E /P a tutti:N
- takeown /f %windir%system32jscript.dll
- cacls %windir%system32jscript.dll /E /P a tutti:N
La soluzione può essere annullata eseguendo i seguenti comandi dal prompt dei comandi:
Annulla 32-bit:
- cacls %windir%system32jscript.dll /E /R tutti
Annulla 64-bit
- cacls %windir%system32jscript.dll /E /R tutti
- cacls %windir%syswow64jscript.dll /E /R tutti
Elenco di aggiornamenti per risolvere la vulnerabilità:
- Windows 10 versione 1903: KB4522016
- Windows 10 versione 1809 e il Server 2019: KB4522015
- Windows 10 versione del 1803: KB4522014
- Windows 10 versione 1709: KB4522012
- Windows 10 versione 1703: KB4522011
- Windows 10 versione 1607 e il Server 2016: KB4522010
- Cumulativa CIOÈ di aggiornamento per le versioni precedenti di Windows: KB4522007
Che cosa circa gli Aggiornamenti di Windows?
Microsoft non ha rilasciato l’aggiornamento tramite Windows Update o WSUS. Susan Bradley note che l’azienda potrebbe rilasciare l’aggiornamento il 24 settembre 2019 tramite Windows Update e WSUS, ma che non è stato confermato da Microsoft.
È un po ‘ sconcertante che Microsoft rilascia un out-of-band aggiornamento di sicurezza che risolve un problema che è sfruttata, ma sceglie di rilasciare un aggiornamento che deve essere scaricato e installato manualmente solo.
Parole Di Chiusura
Dovrebbe o non si dovrebbe installare subito l’aggiornamento? Si tratta di un aggiornamento di sicurezza, ma è disponibile solo attraverso il sito web Microsoft Update Catalog, al momento della scrittura.
Ho ancora consiglia l’installazione di esso, ma si dovrebbe creare un sistema di backup, ad esempio usando macrium reflect o Paragon Backup & Ripristinare Libero, prima di farlo, come non si sa mai in questi giorni gli aggiornamenti introdurre effetti collaterali indesiderati o problemi di loro.
Ora È: installare o attendere, qual è la vostra posizione?