[English]Zum 19. Dezember 2018 hat Microsoft ein kumulatives Sicherheitsupdate KB4483187 für den Internet Explorer freigegeben. Hier einige Informationen zu diesem Update. Ergänzung: Unter Windows 10 wird das Ganze unter anderen KB-Nummern als kumulatives Update angeboten.
Anzeige
Allgemeine Informationen
Ich hatte gestern bereits eine Leseranfrage, ob ein Sonderupdate für den Internet Explorer zu erwarten sei. Heute hat mir Microsoft ein Security Advisory zu diesem Sachverhalt geschickt.
********************************************************************
Title: Microsoft Security Update Releases
Issued: December 19, 2018
********************************************************************
Summary
=======
The following CVE has been added to the December 2018 Security
Updates:
Anzeige
* CVE-2018-8653
Revision Information:
=====================
– CVE-2018-8653 | Scripting Engine Memory Corruption
Vulnerability
– https://portal.msrc.microsoft.com/en-us/security-guidance
– Reason for Revision: Information published.
– Originally posted: December 19, 2018
– Updated: N/A
– Aggregate CVE Severity Rating: Critical
– Version: 1.0
Details zum Update KB4483187 für den Internet Explorer
Microsoft hat eine eigene Seite mit Details zum Update KB4483187 für den Internet Explorer veröffentlicht. Das Update schließt die Remote Execution-Schwachstelle CVE 2018 8653 beim Scripting.
Eine Sicherheitslücke bei der Ausführung von Remote-Code besteht in der Art und Weise, wie die Skript-Engine Objekte im Speicher im Internet Explorer behandelt. Die Schwachstelle könnte den Speicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen könnte. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten.
Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der die Sicherheitslücke erfolgreich ausgenutzt hat, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.
In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Schwachstelle über den Internet Explorer auszunutzen und dann einen Benutzer davon zu überzeugen, die Website anzuzeigen, z.B. durch Senden einer E-Mail.
Das Sicherheitsupdate behebt die Schwachstelle, indem es ändert, wie die Skript-Engine Objekte im Speicher behandelt.
Bisher scheint es keine Ausnutzung der Schwachstelle 'in the wild' zu geben. Das Update steht für den Internet Explorerr 11 und frühere Version zur Verfügung. den Download gibt es auf dieser Seite. Das Update wird auch per Windows Update angeboten.
Wichtig: Wenn Sie nach der Installation dieses Updates ein Sprachpaket installieren, müssen Sie dieses Update neu installieren. Daher empfiehlt Microsoft, alle Sprachpakete vor der Installation dieses Updates zu installieren.
Bekannte Probleme
Nachdem Sie dieses Sicherheitsupdate auf einem Computer mit Windows Server 2012 R2 oder Windows 8.1 installiert haben, wird im Dialogfeld Info über Internet Explorer 11 KB4470199 (das Sicherheitsupdate vom 11. Dezember 2018 für Internet Explorer) anstelle von KB4483187 angezeigt. Benutzer können prüfen, ob sie geschützt sind, indem sie überprüfen, ob die Version von jscript.dll 5.8.9600.19230 ist.
Achtung, unterschiedliche KB-Nummern
Es klang in den Kommentaren schon an, Microsoft verwendet für die einzelnen Windows-Versionen unterschiedliche KB-Nummern für dieses Update. Hier die kumulativen Updates für Windows 10.
- KB4483235 für Windows 10 V1809: Hebt die OS Build auf 17763.195
- KB4483234 für Windows 10 V1803: Hebt die OS Build auf 17134.472
- KB4483232 für Windows 10 V1709: Hebt die OS Build auf 16299.847
- KB4483230 für Windows 10 V1703: Hebt die OS Build auf 15063.1508
- KB483229 für Windows 10 V1607: Hebt die OS Build auf 14393.2670
- KB4483228 für Windows 10 V1507: Hebt die OS Build auf 10240.18064
Für ältere Windows-Versionen und ältere IE-Varianten hält der Microsoft Update Catalog die Updates bereit. Zudem enthält der KB-Artikel 4483187 Hinweise.
Anzeige
Das Windows 7 Update KB4483187 wird nicht per Windows Update angeboten.
Muss ich es downloaden und installieren?
Doch wird es , es dauert nur etwas.
Hat bei mir auch etwas gedauert.
:-)
Oder alternativ selber laden und installieren.
Ok hat sich erledigt.
Vielleicht ist Microsoft eine Möglichkeit bekannt, wie diese Schwachstelle ausgenutzt werden kann?
Sonst würden die doch kein Update out-of-cycle freigeben, da wäre es wohl erst im Januar gepatcht worden :)
Bei mir wurde eben (22:50) das kumulative Update KB4483235 für Windows 1809 installiert. Also nicht KB4483187.
@brume:
Dito!
Unter w10 gibbet auch keen KB4483187, dafür gibt es jeweils neue kumulative updates.
=> lesen! … ;)
lol. wie kurios..
womöglich ist ja auch die aufgabe des edge für diesen "patch" verantwortlich.. jetzt wo der nicht mehr ist, muss die 5/6 jahre alte IE11 engine für die parental controls und sowieso die sicherheit des nutzers sicherstellen indem der gesamte webtraffic durchpflügt und evtl. schadhafte inhalte angepasst werden. oder nicht?
meine erinnerung des tages ist ein arg in updateleidenschaft gezogenes win7, welches nach befreiung vom gröbsten dreck, reparatur der updatefunktion (stand war 16.11.2017, wie immer) und anschließender suche nach sicherheitsaktualisierungen als erstes KB2952664 bekam und einen sofortigen neustart verlangte… was mich zur kompletten entfernung aller junk-updates veranlasste, per skript mit automatischem force-reboot. danach erschien winblows-analytics wieder unter den wichtigen updates zur auswahl, neben den qualitätsupdates vom monat dezember. und ich wette man geht bei ms davon aus, dass die masse damit beruhigt ist ^^
eine sauerei ist das! ob win10 nun kostenlos und win7 alt ist oder nicht!
eine "sauerei" ist für so unerheblichen content so viele Zeilen zu verbrauchen.
Die niemand lesen mag…
Dagegen spricht, dass der IE auf allen Plattformen gepatcht wird.
@mercwuerden:
Siehe
https://www.deskmodder.de/blog/2018/12/19/kb4483235-windows-10-1809-17763-195-manueller-download-19-12-2018/
und
https://www.drwindows.de/news/dank-google-ausserplanmaessiges-sicherheitsupdate-schliesst-luecke-im-internet-explorer
und?
da steht halt das, was bereits geschroben ward (nur mit nummern)…
:P
Bei mir auch. In der MS-Erklärung dazu steht, dass es sich ebenfalls um ein Sicherheitsupdate für IE handelt.
Mag sein – kann aktuell wenig recherchieren, da hier alles bis zum Jahreswechsel im Notbetrieb läuft und ich mich um Familienangelegenheiten kümmern muss- gestern Nacht gab es zumindest wieder kurz Internet.
Relevant für die Geschichte ist der im Text verlinkte KB-Artikel von Microsoft. Ich habe mal einige KB-Nummern oben nachgetragen.
Es ist vermutlich dasselbe, hat aber eine andere Nummer, wie im Artikel geschrieben.
Für den IE9 auf dem Server 2008/Vista ist das Update auch rausgekommen. Nur so als Zusatzinformation.
Danke, die Links sind über die Hinweise im Nachtrag zu finden.
Unter Vista x64 erfolgreich getestet
Benutze den IE nicht und habe ihn schon ewig in den Windows-Funktionen deaktiviert. Ist es dennoch notwendig das Update zu installieren?
Ja, denn die Script-Engine sowie weitere IE-Funktionen werden an diversen Stellen verwendet.
Moin!
Ich habe heute die Installation des KB4483187 unter Win 7 Home Premium zugelassen und dann (wirklich aus Versehen) leider abgebrochen.
Jetzt, nach einem Neustart, findet Windows Update das KB4483187 zwar wieder, aber irgendwie bleibt der Vorgang nun bei "1 Update wird heruntergeladen (0 KB insgesamt, 0% abgeschlossen)" stehen – und das seit mehreren Minuten.
Ist das normal so?
Lade das Update aus dem Microsoft Update Catalog und probiere eine manuelle Installation.
Danke für die rasche Antwort.
Ich hatte noch etwas abgewartet; obwohl die ganze Zeit über 0 KB und 0% angezeigt wurden, erhielt ich letztendlich den Hinweis, dass das Update installiert wurde und ich das System neu starten soll.
Weswegen da nun keinerlei Fortschrittsanzeige mehr erfolgt (woraufhin man ja eigentlich denken sollte, dass rein gar nichts mehr passiert und den "Vorgang" evtl. erneut abbricht), ist mir irgendwie ein Rätsel.
ansonsten, hier:
wureset.com
es gibt nichts besseres zur updatefunktions-reparatur! funzt immer.
heise.de stuft es als Notfallpatch ein:
https://www.heise.de/security/meldung/Notfallpatch-Angreifer-maltraetieren-Internet-Explorer-mit-Schadcode-4257149.html
Die Installation unter Windows 8.1 hat geklappt.
Hallo,
trotz integriertem "Kumulatives Sicherheitsupdate für Internet Explorer: 9 April 2019" wird der KB4483187 über WindowsUpdate angeboten
Sehr seltsam…