Microsoft skyver nødsituasjon Out of Band IE Zero-day fix til Windows Update

Hjemprodukt » Microsoft

Ikon for lesetid 3 min. lese

Kalenderikon Publisert på

by Surur Davids 

publisert på

Del denne artikkelen

Lesere hjelper til med å støtte MSpoweruser. Vi kan få provisjon hvis du kjøper gjennom lenkene våre. Verktøytipsikon

Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer

For ti dager siden ga Microsoft ut en kumulativ oppdatering utenfor bandet for alle støttede versjoner av Windows 10 som adresserer et nytt sikkerhetsproblem med ekstern kjøring av kode i Internet Explorer.

Da var oppdateringen kun tilgjengelig via oppdateringskatalogen, men det ser ut til at Microsoft nå har nok tillit til oppdateringen til å sende den ut til alle versjoner av Windows.

Microsoft beskriver den alvorlige feilen som følger:

Det eksisterer et sikkerhetsproblem med ekstern kjøring av kode i måten skriptmotoren håndterer objekter i minnet i Internet Explorer. Sårbarheten kan ødelegge minnet på en slik måte at en angriper kan kjøre vilkårlig kode i konteksten til gjeldende bruker. En angriper som lykkes med å utnytte sikkerhetsproblemet kan få samme brukerrettigheter som gjeldende bruker. Hvis den gjeldende brukeren er pålogget med administrative brukerrettigheter, kan en angriper som har utnyttet sikkerhetsproblemet ta kontroll over et berørt system. En angriper kan da installere programmer; vise, endre eller slette data; eller opprett nye kontoer med fulle brukerrettigheter.

I et nettbasert angrepsscenario kan en angriper være vert for et spesiallaget nettsted som er utformet for å utnytte sårbarheten gjennom Internet Explorer og deretter overbevise en bruker om å se nettstedet, for eksempel ved å sende en e-post.

Sikkerhetsoppdateringen adresserer sikkerhetsproblemet ved å endre hvordan skriptmotoren håndterer objekter i minnet.

Microsoft benyttet også muligheten til å presse ut en annen feilretting, denne gangen for å fikse skriverproblemer forårsaket av en tidligere oppdatering for den samme IE-feilen.

"Løser et periodisk problem med utskriftskøtjenesten som kan føre til at utskriftsjobber mislykkes. Noen apper kan lukke eller generere feil, for eksempel RPC-feilen (Remote Procedure Call)», bemerker endringsloggen.

De full endringslogg for KB4524147 lyder:

Denne sikkerhetsoppdateringen inkluderer sikkerhetssårbarheten for Internet Explorer-skriptmotoren (CVE-2019-1367) og korrigerer et nylig utskriftsproblem som enkelte brukere har opplevd.

Viktige endringer inkluderer:

  • Løser et periodisk problem med utskriftskøtjenesten som kan føre til at utskriftsjobber mislykkes. Noen apper kan lukke eller generere feil, for eksempel RPC-feilen (Remote Procedure Call).
  • Løser et problem som kan resultere i en feil når du installerer Features On Demand (FOD), for eksempel .Net 3.5. Feilen er: "Endringene kunne ikke fullføres. Start datamaskinen på nytt og prøv igjen. Feilkode: 0x800f0950."

Windows-brukere kan laste ned oppdateringen ved å se etter oppdateringer i Innstillinger eller vente til den blir installert automatisk.

via ZDNet

Mer om temaene: Kumulativ oppdatering, internet explorer, Windows 10

Surur Davids

Surur Davids Shield

Smarttelefonekspert

Surur Davids er grunnleggeren av WMPoweruser som senere ble MSPoweruser.com. Han er en smarttelefonekspert med over ti års erfaring.