Microsoft heeft op 19 december 2018 een beveiligingsupdate voor Internet Explorer uitgebracht die een beveiligingsprobleem in de scriptengine oplost.
Microsoft beschrijft het probleem op de volgende manier:
Er bestaat een beveiligingslek met betrekking tot het uitvoeren van externe code door de manier waarop de scriptengine omgaat met objecten in het geheugen in Internet Explorer.
De kwestie is ingediend onder CVE-2018-8653. De pagina Beveiligingsadvies voor CVE-2018-8653 biedt aanvullende details. Het beveiligingslek kan door aanvallers worden gebruikt om willekeurige code in de gebruikerscontext uit te voeren als dit met succes wordt misbruikt.
Als een gebruiker beheerdersrechten heeft, krijgt de aanvaller deze rechten ook; hierdoor kan de aanvaller onder andere software installeren en uitvoeren en systeeminstellingen wijzigen.
Uit de beschrijving blijkt dat het voldoende is om een specifiek voorbereide website in Internet Explorer te openen om geïnfecteerd te raken.Dat vindt Woody ook.
Het beveiligingsprobleem treft Internet Explorer 11, 10 en 9 op alle ondersteunde client- en serverversies van Windows. Het lost met name het probleem op op apparaten met Windows 7, Windows 8.1 en Windows 10, en Windows Server 2008 en 2012, Windows Server 2012 R2, Windows Server 2016 en Windows Server 2019.
De update is beschikbaar als cumulatieve update voor Internet Explorer en Windows. Microsoft heeft de update op Windows Update al ingeschakeld, maar deze kan ook worden gedownload van de Microsoft Update Catalog-website.
Link naar website Microsoft Update-catalogus:
- Windows 7, 8.1, Windows Server 2008 en 2008 R2, Windows Server 2012, 2012 R2 en Windows Embedded: KB4483187
- Windows 10 versie 1793: KB4483230
- Windows 10 versie 1803: KB4483234
- Windows 10 versie 1809: KB4483235
Houd er rekening mee dat het niet wordt aanbevolen om een "controleren op updates" op Windows Update uit te voeren, omdat het updates kan opleveren die u niet op het apparaat wilt installeren; dit kan een nieuwe functie-update zijn voor Windows 10.
De cumulatieve beveiligingsupdate van Internet Explorer heeft een bekend probleem dat van invloed is op apparaten met Windows 8.1 of Windows Server 2012 R2. Het dialoogvenster "Over Internet Explorer 11" toont KB4470199 van 11 december 2018 en niet de nieuwe update.
Microsoft merkt op dat gebruikers kunnen bevestigen dat het systeem is gepatcht door te controleren of jscript.dll heeft de versie 5.8.9600.19230. Het bestand bevindt zich onder C:\Windows\System32\jscript.dll