Microsoft posúva núdzovú opravu Out of Band IE Zero-day na Windows Update

Domov » Microsoft

Ikona času čítania 3 min. čítať

Ikona kalendára Publikované dňa

by Surur Davids 

publikované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Pred desiatimi dňami spoločnosť Microsoft vydala mimopásmovú kumulatívnu aktualizáciu pre všetky podporované verzie systému Windows 10 ktorý rieši novú zraniteľnosť programu Internet Explorer na vzdialené spustenie kódu.

Potom bola aktualizácia k dispozícii iba prostredníctvom katalógu aktualizácií, ale zdá sa, že spoločnosť Microsoft má teraz dostatočnú dôveru v opravu, aby ju rozšírila na všetky verzie systému Windows.

Microsoft popisuje závažnú chybu nasledovne:

V spôsobe, akým skriptovací mechanizmus spracováva objekty v pamäti v programe Internet Explorer, existuje chyba zabezpečenia vzdialeného spúšťania kódu. Zraniteľnosť by mohla poškodiť pamäť takým spôsobom, že by útočník mohol spustiť ľubovoľný kód v kontexte aktuálneho používateľa. Útočník, ktorý by úspešne zneužil túto chybu zabezpečenia, by mohol získať rovnaké používateľské práva ako aktuálny používateľ. Ak je aktuálny používateľ prihlásený s právami správcu, útočník, ktorý by úspešne zneužil túto chybu zabezpečenia, by mohol prevziať kontrolu nad postihnutým systémom. Útočník by potom mohol nainštalovať programy; zobraziť, zmeniť alebo odstrániť údaje; alebo vytvorte nové účty s plnými používateľskými právami.

V scenári webového útoku by útočník mohol hostiť špeciálne vytvorenú webovú lokalitu, ktorá je navrhnutá tak, aby zneužila túto zraniteľnosť prostredníctvom programu Internet Explorer, a následne presvedčiť používateľa, aby si webovú lokalitu prezrel, napríklad odoslaním e-mailu.

Aktualizácia zabezpečenia rieši túto zraniteľnosť úpravou spôsobu, akým skriptovací mechanizmus spracováva objekty v pamäti.

Microsoft tiež využil príležitosť na vytlačenie ďalšej opravy chýb, tentoraz na opravu problémov s tlačiarňou spôsobených staršou opravou pre rovnakú chybu IE.

„Rieši občasný problém so službou zaraďovania tlače, ktorý môže spôsobiť zlyhanie tlačových úloh. Niektoré aplikácie sa môžu zatvoriť alebo generovať chyby, ako je napríklad chyba vzdialeného volania procedúry (RPC), “poznamenáva changelog.

úplný zoznam zmien pre KB4524147 znie:

Táto aktualizácia zabezpečenia obsahuje obmedzenie zabezpečenia skriptovacieho mechanizmu Internet Explorer (CVE-2019-1367) a opravuje nedávny problém s tlačou, s ktorým sa niektorí používatelia stretli.

Medzi kľúčové zmeny patria:

  • Rieši občasný problém so službou zaraďovania tlače, ktorý môže spôsobiť zlyhanie tlačových úloh. Niektoré aplikácie sa môžu zatvoriť alebo generovať chyby, ako je chyba vzdialeného volania procedúry (RPC).
  • Rieši problém, ktorý môže spôsobiť chybu pri inštalácii funkcií na požiadanie (FOD), ako je .Net 3.5. Chyba je: „Zmeny sa nepodarilo dokončiť. Reštartujte počítač a skúste to znova. Kód chyby: 0x800f0950.”

Používatelia systému Windows si môžu aktualizáciu stiahnuť pomocou funkcie Kontrola aktualizácií v Nastaveniach alebo počkať, kým sa automaticky nainštaluje.

Cez ZDNet

Viac o témach: Kumulatívna aktualizácia, internet explorer, windows 10

Surur Davids

Surur Davids Shield

Expert na smartfóny

Surur Davids je zakladateľom WMPoweruser, ktorý sa neskôr stal MSPoweruser.com. Je to odborník na smartfóny s viac ako desaťročnými skúsenosťami.