Internet Explorer Sicherheitsupdate KB4537767 (Feb. 2020)

[English]Microsoft hat zum 11. Februar 2020 auch das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer freigegeben. Hier einige Informationen rund um dieses Update.


Anzeige

Die Schwachstelle CVE-2020-0674 im IE

Mit dem kumulativen Sicherheitsupdate KB4537767 für den Internet Explorer patcht Microsoft die 0-day-Schwachstelle CVE-2020-0674. Diese war Mitte Januar 2020 bekannt geworden. Aufgedeckt wurde diese Schwachstelle durch Clément Lecigne aus der Googles Threat Analysis Group und Ella Yu von Qihoo 360.

In der Scripting Engine, die auch vom Internet Explorer verwendet wird, gibt es eine Memory Corruption-Schwachstelle. Bei der Ausführung von Objekten durch die Scripting Engine im Internet Explorer kann es zu Speicherüberläufen bzw. –Beschädigungen kommen. Das hat zur Konsequenz, dass Angreifer über präparierte Webseiten den Speicher des IE so beschädigen können, dass sich remote Code einschleusen und ausführen ließe.

Ich hatte im Blog-Beitrag Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020) berichtete. Dort habe ich auch den von Microsoft vorgeschlagenen Workaround vorgeschlagen, der aber einige Kollateralschäden verursacht.

Update KB4537767 für den Internet Explorer

Zum 11. Februar 2020 hat Microsoft dann das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer veröffentlicht. Das Update gilt für den:

  • Internet Explorer 11 auf
    • Windows Server 2012 R2,
    • Windows Server 2012,
    • Windows Server 2008 R2 SP1,
    • Windows 8.1 Update und
    • Windows 7 SP1
  • Internet Explorer 10 auf Windows Server 2012
  • Internet Explorer 9 auf Windows Server 2008 SP2

Das Sicherheitsupdate ist Bestandteil der monatlichen Rollup-Updates für Windows 7 SP1 und Windows 8.1 sowie der jeweiligen Server-Pendants. In Windows 10 wird das Sicherheitsupdate für den Internet Explorer ebenfalls über das kumulative Sicherheitsupdate für die jeweilige Windows-Version mit ausgeliefert. Wer reine security-only Updates für Windows 7 SP1 und Windows 8.1 sowie die Server-Pendants installiert, muss sich selbst um die Installation des Updates kümmern.


Anzeige

  • Das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer 11 wird auf Windows Server 2012 und in Windows Embedded 8 Standard über Windows Update angeboten.
  • Für andere Windows-Varianten steht das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer zum manuellen Download per Microsoft Update Catalog mit anschließender manueller Installation bereit.
  • Weiterhin wird das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer über WSUS zur Verteilung in Unternehmensumgebungen bereitgestellt.

Die Kollegen von Bleeping Computer haben in diesem Artikel eine Tabelle mit den jeweiligen KB-Paketen, die Update für die jeweilige Windows-Variante enthalten, aufbereitet. Beachtet aber die Hinweise im Supportartikel zu KB4537767, was die bekannten Probleme und Randbedingungen im Zusammenhang mit dem Update betrifft.  

Wichtig: Workaround für den IE rückgängig machen

Wer den von Microsoft Mitte Januar 2020 angegebenen Workaround zum Abschwächen der 0-day-Schwachstelle angewandt hat (siehe Blog-Beitrag Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020) bzw. die Ausführungen in diesem Microsoft-Artikel zur 0-Day-Schwachstelle), muss diesen vor der Update-Installation zurücknehmen.

Darauf weist Microsoft-Mitarbeiterin Julie Andreacola in obigem Tweet hin. Andernfalls könnte es zu Problemen bei der Update-Installation kommen.

Ähnliche Artikel:
Adobe Flash Player 32.0.0.330
Microsoft Office Patchday (4. Februar 2020)
Microsoft Security Update Summary (14. Januar 2020)
Patchday Windows 10-Updates (11. Februar 2020)
Patchday: Updates für Windows 7/8.1/Server (11. Februar 2020)

Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020)
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Internet Explorer Sicherheitsupdate KB4537767 (Feb. 2020)

  1. Teletom sagt:

    Die interessante Frage wäre ja hierbei, ob die Installation des IE11-Patches unter Win 7 ohne ESU-Lizenz oder die Umgehungspatches trotzdem möglich ist?

    • David sagt:

      einfach mal nachlesen: "WICHTIG! WSUS-Scan-CAB-Dateien werden weiterhin für Windows 7 SP1 und Windows Server 2008 R2 SP1 verfügbar sein. Wenn auf einigen Ihrer Geräte diese Betriebssysteme ohne ESU ausgeführt werden, werden sie möglicherweise in Ihren Patchverwaltungs- und Compliance-Toolsets als nicht konform angezeigt."

      also NEIN

  2. Christoph sagt:

    N'Abend, ich habe es auf meinen Win7 Pro x64 ohne ESU nicht installieren können, es gab ein Rollback ohne weiteren Grund. Den workaround hatte ich vorher nicht angewandt, aber 0patch installiert. Ich probiere es bei Zeiten noch mal mit inaktiviertem Patch von 0patch.
    Gruß
    Christoph

  3. Seita sagt:

    Bei Win 7 ohne ESU-Lizenz klappt es nicht.
    Hatte die Vorraussetzungen überlesen und versucht es zu installieren.
    Nach dem Reboot wurde die Installation wieder rückgängig gemacht.

    • Teletom sagt:

      Danke. Kann dies jetzt auch bestätigen. Hatte es soeben an einer Testinstallation ausprobiert. Wurde auch bei mir wieder rückgängig gemacht.

      Win 7 wird zwar nicht mehr supportet, der IE11 aber schon noch. Die Gemeinheit, gerade die neu und noch im Januar entdeckte, offenbar gravierende 0-day-Schwachstelle CVE-2020-0674 für Win 7-Nutzer nicht mehr zu patchen, war von MS ja zu erwarten gewesen. Mit der gleichen Logik bräuchten die auf Win 7 installiertes Office auch nicht mehr upzudaten. Das trauen sie sich aber nicht.

      Ich nehme an, für .NET Framework wird sich dann wohl künftig auch nichts mehr installieren lassen.

      Interessanterweise brach das IE-Update schon während des Installationsprozesses ab. Nachdem ich das Januar SSU installiert hatte, lief die Installation durch und wurde erst nach dem Reboot wieder rückgängig gemacht.

      Außerdem nennt sich plötzlich das IE-Update nicht mehr wie üblich "ie11-windows6.1-kb4537767-…" sondern "windows6.1-kb4537767-…" Es wird das Browserupdate ganz bewußt zum Betriebssystemupdate erklärt.

      Hier wurde also jemand daran gesetzt, den Leuten die Suppe extra zu versalzen. Den gleichen Enthusiasmus würde ich mir von MS bei der Qualitätsverbessung ihrer Produkte wünschen.

      • eiswurst sagt:

        funkt einwandfrei! – WENN man der 'bypass'-Beschreibung von deskmodder
        https://www.deskmodder.de/blog/2020/02/12/windows-7-esu-updates-installieren-bypass-funktioniert-wirklich/
        exakt folgt:
        BypassESU install, dann kb4528069 – Neustart – dann KB4538483.
        Danach wahlweise sec-only KB4537813 & IE11 KB4537767 oder monthly-roll KB4537820.
        Alles jeweils manuell, DL via MS-catalog. WU ist obsolet.
        Am Ende kann noch das aktuelle ssu KB4537829 installiert werden, vorher nicht, sonst bypass ohne Fkt.
        :)

      • Dekre sagt:

        ich kann das auch nicht bestätigen. Das funktioniert einwandfrei. Vielleicht die falsche Datei heruntergeladen?

        Unabhängig davon funktioniert das bei Deskmodder auch einwandfrei, siehe Link bei @eiswurst. Ich habe das dann mit dem kompletten Paket gemacht.

        Es ist nur etwas mühsam. Ich berichtete auch an verschiedenen Stellen. Ich habe das 2x gemacht. Beim ersten Mal mit Hinweis für mein Gehirn "lesen nützt doch". Beim zweiten Mal ruck zuck. Ich habe nach jeder Installation einen Neustart gemacht. Heute mache ich noch einen PC.

  4. Seita sagt:

    Hab's gerade auch probiert, OHNE kb4528069 und KB4538483.

    BypassESU installiert, dann – Neustart.
    Danach Sec-only KB4537813 & IE11 KB4537767 installiert.
    Dann – Neustart.
    Danach das BypassESU wieder deinstalliert.
    Wieder Neustart.
    Beide Updates stehen jetzt in der Liste der installierten Updates.

    Updates habe ich manuell via MS-catalog gedownloaded.

    Ist im Grunde das gleiche was ich vorher auch immer gemacht habe , nur diesmal vorher das BypassESU installieren, also kein großer Mehraufwand.
    Ist nur die Frage wie lange das funktionieren wird.

  5. Caro sagt:

    Es gibt jetzt eine Methode die Win7-Updates ohne ESU-Bypass zu installieren. Der ESU-Check wird dabei einfach unterdrückt:
    https://www.deskmodder.de/blog/2020/02/16/windows-7-updates-ohne-bypass-online-installieren-oder-offline-integrieren-funktioniert-nun-auch/
    (Ich habe es noch nicht ausprobiert.)

  6. Caro sagt:

    Zur Ergänzung des letzten Beitrags:
    Bei mir hat die neue Methode ohne Probleme funktioniert, habe damit die Februar-Updates SecurityOnly KB4537813, IE11 KB4537767 und SSU KB4537829 installiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.