[English]Microsoft hat zum 11. Februar 2020 auch das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer freigegeben. Hier einige Informationen rund um dieses Update.
Anzeige
Die Schwachstelle CVE-2020-0674 im IE
Mit dem kumulativen Sicherheitsupdate KB4537767 für den Internet Explorer patcht Microsoft die 0-day-Schwachstelle CVE-2020-0674. Diese war Mitte Januar 2020 bekannt geworden. Aufgedeckt wurde diese Schwachstelle durch Clément Lecigne aus der Googles Threat Analysis Group und Ella Yu von Qihoo 360.
In der Scripting Engine, die auch vom Internet Explorer verwendet wird, gibt es eine Memory Corruption-Schwachstelle. Bei der Ausführung von Objekten durch die Scripting Engine im Internet Explorer kann es zu Speicherüberläufen bzw. –Beschädigungen kommen. Das hat zur Konsequenz, dass Angreifer über präparierte Webseiten den Speicher des IE so beschädigen können, dass sich remote Code einschleusen und ausführen ließe.
Ich hatte im Blog-Beitrag Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020) berichtete. Dort habe ich auch den von Microsoft vorgeschlagenen Workaround vorgeschlagen, der aber einige Kollateralschäden verursacht.
Update KB4537767 für den Internet Explorer
Zum 11. Februar 2020 hat Microsoft dann das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer veröffentlicht. Das Update gilt für den:
- Internet Explorer 11 auf
- Windows Server 2012 R2,
- Windows Server 2012,
- Windows Server 2008 R2 SP1,
- Windows 8.1 Update und
- Windows 7 SP1
- Internet Explorer 10 auf Windows Server 2012
- Internet Explorer 9 auf Windows Server 2008 SP2
Das Sicherheitsupdate ist Bestandteil der monatlichen Rollup-Updates für Windows 7 SP1 und Windows 8.1 sowie der jeweiligen Server-Pendants. In Windows 10 wird das Sicherheitsupdate für den Internet Explorer ebenfalls über das kumulative Sicherheitsupdate für die jeweilige Windows-Version mit ausgeliefert. Wer reine security-only Updates für Windows 7 SP1 und Windows 8.1 sowie die Server-Pendants installiert, muss sich selbst um die Installation des Updates kümmern.
Anzeige
- Das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer 11 wird auf Windows Server 2012 und in Windows Embedded 8 Standard über Windows Update angeboten.
- Für andere Windows-Varianten steht das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer zum manuellen Download per Microsoft Update Catalog mit anschließender manueller Installation bereit.
- Weiterhin wird das kumulative Sicherheitsupdate KB4537767 für den Internet Explorer über WSUS zur Verteilung in Unternehmensumgebungen bereitgestellt.
Die Kollegen von Bleeping Computer haben in diesem Artikel eine Tabelle mit den jeweiligen KB-Paketen, die Update für die jeweilige Windows-Variante enthalten, aufbereitet. Beachtet aber die Hinweise im Supportartikel zu KB4537767, was die bekannten Probleme und Randbedingungen im Zusammenhang mit dem Update betrifft.
Wichtig: Workaround für den IE rückgängig machen
Wer den von Microsoft Mitte Januar 2020 angegebenen Workaround zum Abschwächen der 0-day-Schwachstelle angewandt hat (siehe Blog-Beitrag Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020) bzw. die Ausführungen in diesem Microsoft-Artikel zur 0-Day-Schwachstelle), muss diesen vor der Update-Installation zurücknehmen.
If you changed the permissions for JScript.dll to workaround the IE vulnerbility disclosed January, you need to undo it before applying security updates this month. If you don't know what I'm talking about, carry on.. #MEMCM #SCCM https://t.co/TqUt6HU1Vo
— Julie Andreacola (@jandreacola) February 12, 2020
Darauf weist Microsoft-Mitarbeiterin Julie Andreacola in obigem Tweet hin. Andernfalls könnte es zu Problemen bei der Update-Installation kommen.
Ähnliche Artikel:
Adobe Flash Player 32.0.0.330
Microsoft Office Patchday (4. Februar 2020)
Microsoft Security Update Summary (14. Januar 2020)
Patchday Windows 10-Updates (11. Februar 2020)
Patchday: Updates für Windows 7/8.1/Server (11. Februar 2020)
Warnung: 0-Day-Schwachstelle im Internet Explorer (17.1.2020)
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
Anzeige
Die interessante Frage wäre ja hierbei, ob die Installation des IE11-Patches unter Win 7 ohne ESU-Lizenz oder die Umgehungspatches trotzdem möglich ist?
einfach mal nachlesen: "WICHTIG! WSUS-Scan-CAB-Dateien werden weiterhin für Windows 7 SP1 und Windows Server 2008 R2 SP1 verfügbar sein. Wenn auf einigen Ihrer Geräte diese Betriebssysteme ohne ESU ausgeführt werden, werden sie möglicherweise in Ihren Patchverwaltungs- und Compliance-Toolsets als nicht konform angezeigt."
also NEIN
N'Abend, ich habe es auf meinen Win7 Pro x64 ohne ESU nicht installieren können, es gab ein Rollback ohne weiteren Grund. Den workaround hatte ich vorher nicht angewandt, aber 0patch installiert. Ich probiere es bei Zeiten noch mal mit inaktiviertem Patch von 0patch.
Gruß
Christoph
Bei Win 7 ohne ESU-Lizenz klappt es nicht.
Hatte die Vorraussetzungen überlesen und versucht es zu installieren.
Nach dem Reboot wurde die Installation wieder rückgängig gemacht.
Danke. Kann dies jetzt auch bestätigen. Hatte es soeben an einer Testinstallation ausprobiert. Wurde auch bei mir wieder rückgängig gemacht.
Win 7 wird zwar nicht mehr supportet, der IE11 aber schon noch. Die Gemeinheit, gerade die neu und noch im Januar entdeckte, offenbar gravierende 0-day-Schwachstelle CVE-2020-0674 für Win 7-Nutzer nicht mehr zu patchen, war von MS ja zu erwarten gewesen. Mit der gleichen Logik bräuchten die auf Win 7 installiertes Office auch nicht mehr upzudaten. Das trauen sie sich aber nicht.
Ich nehme an, für .NET Framework wird sich dann wohl künftig auch nichts mehr installieren lassen.
Interessanterweise brach das IE-Update schon während des Installationsprozesses ab. Nachdem ich das Januar SSU installiert hatte, lief die Installation durch und wurde erst nach dem Reboot wieder rückgängig gemacht.
Außerdem nennt sich plötzlich das IE-Update nicht mehr wie üblich "ie11-windows6.1-kb4537767-…" sondern "windows6.1-kb4537767-…" Es wird das Browserupdate ganz bewußt zum Betriebssystemupdate erklärt.
Hier wurde also jemand daran gesetzt, den Leuten die Suppe extra zu versalzen. Den gleichen Enthusiasmus würde ich mir von MS bei der Qualitätsverbessung ihrer Produkte wünschen.
funkt einwandfrei! – WENN man der 'bypass'-Beschreibung von deskmodder
https://www.deskmodder.de/blog/2020/02/12/windows-7-esu-updates-installieren-bypass-funktioniert-wirklich/
exakt folgt:
BypassESU install, dann kb4528069 – Neustart – dann KB4538483.
Danach wahlweise sec-only KB4537813 & IE11 KB4537767 oder monthly-roll KB4537820.
Alles jeweils manuell, DL via MS-catalog. WU ist obsolet.
Am Ende kann noch das aktuelle ssu KB4537829 installiert werden, vorher nicht, sonst bypass ohne Fkt.
:)
Den habsch auch bereits probiert, funktioniert tatsächlich – und einwandfrei. :)
Die beiden braucht man nicht für BypassESU:
KB4528069 (ESU-Test)
KB4538483 (ESU-Update)
ich kann das auch nicht bestätigen. Das funktioniert einwandfrei. Vielleicht die falsche Datei heruntergeladen?
Unabhängig davon funktioniert das bei Deskmodder auch einwandfrei, siehe Link bei @eiswurst. Ich habe das dann mit dem kompletten Paket gemacht.
Es ist nur etwas mühsam. Ich berichtete auch an verschiedenen Stellen. Ich habe das 2x gemacht. Beim ersten Mal mit Hinweis für mein Gehirn "lesen nützt doch". Beim zweiten Mal ruck zuck. Ich habe nach jeder Installation einen Neustart gemacht. Heute mache ich noch einen PC.
Hab's gerade auch probiert, OHNE kb4528069 und KB4538483.
BypassESU installiert, dann – Neustart.
Danach Sec-only KB4537813 & IE11 KB4537767 installiert.
Dann – Neustart.
Danach das BypassESU wieder deinstalliert.
Wieder Neustart.
Beide Updates stehen jetzt in der Liste der installierten Updates.
Updates habe ich manuell via MS-catalog gedownloaded.
Ist im Grunde das gleiche was ich vorher auch immer gemacht habe , nur diesmal vorher das BypassESU installieren, also kein großer Mehraufwand.
Ist nur die Frage wie lange das funktionieren wird.
was noch interessant wär, was ist mit den upds für .net-framework? Gibts welche für Win7 und lasssen die sich damit ebenfalls installieren?!
Es gibt jetzt eine Methode die Win7-Updates ohne ESU-Bypass zu installieren. Der ESU-Check wird dabei einfach unterdrückt:
https://www.deskmodder.de/blog/2020/02/16/windows-7-updates-ohne-bypass-online-installieren-oder-offline-integrieren-funktioniert-nun-auch/
(Ich habe es noch nicht ausprobiert.)
Zur Ergänzung des letzten Beitrags:
Bei mir hat die neue Methode ohne Probleme funktioniert, habe damit die Februar-Updates SecurityOnly KB4537813, IE11 KB4537767 und SSU KB4537829 installiert.