Microsoft pusht noodoplossing voor Out of Band IE Zero-day-oplossing voor Windows Update

Home » Microsoft

Pictogram voor leestijd 3 minuut. lezen

Kalender pictogram Uitgegeven op

by Surur Davids 

gepubliceerd op

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Tien dagen geleden heeft Microsoft een out-of-band cumulatieve update uitgebracht voor alle ondersteunde versies van Windows 10 die een nieuw beveiligingslek met betrekking tot de uitvoering van externe code in Internet Explorer verhelpt.

Toen was de update alleen beschikbaar via de Update Catalogue, maar het lijkt erop dat Microsoft nu voldoende vertrouwen heeft in de patch om deze naar alle versies van Windows te pushen.

Microsoft beschrijft de ernstige bug als volgt:

Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code door de manier waarop de scriptengine objecten in het geheugen in Internet Explorer verwerkt. Het beveiligingslek kan het geheugen zodanig beschadigen dat een aanvaller willekeurige code kan uitvoeren in de context van de huidige gebruiker. Een aanvaller die het beveiligingslek weet te misbruiken, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Als de huidige gebruiker is aangemeld met beheerdersrechten, kan een aanvaller die misbruik weet te maken van het beveiligingslek de controle krijgen over een getroffen systeem. Een aanvaller zou dan programma's kunnen installeren; gegevens inzien, wijzigen of verwijderen; of maak nieuwe accounts aan met volledige gebruikersrechten.

In een webgebaseerd aanvalsscenario kan een aanvaller beschikken over een speciaal vervaardigde website die is ontworpen om het beveiligingslek te misbruiken via Internet Explorer en vervolgens een gebruiker ertoe overhalen de website te bekijken, bijvoorbeeld door een e-mail te sturen.

De beveiligingsupdate lost het beveiligingslek op door te wijzigen hoe de scriptengine omgaat met objecten in het geheugen.

Microsoft maakte ook van de gelegenheid gebruik om nog een bugfix uit te brengen, dit keer om printerproblemen op te lossen die waren veroorzaakt door een eerdere patch voor dezelfde IE-fout.

“Lost een incidenteel probleem met de print spooler-service op waardoor afdruktaken kunnen mislukken. Sommige apps kunnen sluiten of fouten genereren, zoals de RPC-fout (Remote Procedure Call), "merkt de changelog op.

De volledige changelog voor KB4524147 luidt als volgt:

Deze beveiligingsupdate bevat het beveiligingslek met de scripting-engine van Internet Explorer (CVE-2019-1367) en corrigeert een recent afdrukprobleem dat sommige gebruikers hebben ondervonden.

Belangrijke veranderingen zijn onder meer:

  • Lost een incidenteel probleem op met de print spooler-service waardoor afdruktaken kunnen mislukken. Sommige apps kunnen sluiten of fouten genereren, zoals de RPC-fout (Remote Procedure Call).
  • Lost een probleem op dat kan resulteren in een fout bij het installeren van Features On Demand (FOD), zoals .Net 3.5. De fout is: "De wijzigingen konden niet worden voltooid. Start uw computer opnieuw op en probeer het opnieuw. Foutcode: 0x800f0950.”

Windows-gebruikers kunnen de update downloaden door te controleren op updates in Instellingen of te wachten tot deze automatisch wordt geïnstalleerd.

Via ZDNet

Meer over de onderwerpen: Cumulatieve update, internet explorer, Windows 10

Surur Davids

Surur Davids Schild

Smartphone-expert

Surur Davids is de oprichter van WMPoweruser, wat later MSPoweruser.com werd. Hij is een smartphone-expert met meer dan tien jaar ervaring.