Microsoft rolt de noodpatch die het eind september beschikbaar maakte voor een zero-day in Internet Explorer automatisch uit als vereiste update via Windows Update.
Microsoft loste eind september een patch voor Internet Explorer buiten zijn vaste updateritme om. Wanneer Microsoft dat doet, duidt het doorgaans op een ernstig lek. In dit geval gaat het om een zero-day in de webbrowser, die reeds in het wild wordt misbruikt.
Het gaat om een RCE-kwetsbaarheid (Remote Code Execution), waarbij een aanvaller vanop afstand code kan uitvoeren op het getroffen systeem, met dezelfde rechten als de op dat moment ingelogde gebruiker. Alles wat hij daarvoor moet bewerkstelligen, is om het slachtoffer naar een aangepaste website te lokken.
De patch voor de kwetsbaarheid werd aanvankelijk alleen via Microsofts Update-catalogus beschikbaar gemaakt, waar gebruikers hem manueel konden downloaden. Nu wordt de update ook via Windows Update en Windows Server Update Services (WSUS) gelost, zodat hij automatisch wordt aangeboden.
Vereiste update
“Dit is een vereiste beveiligingsupdate die de uitzonderlijke update van 23 september 2019 uitbreidt”, waarschuwt Microsoft. De update wordt uitgerold naar alle Windows-versies die momenteel nog actieve ondersteuning genieten, voor Internet Explorer 9 tot en met 11.
Internet Explorer heeft volgens NetMarketShare een marktaandeel van iets minder dan 8 procent op de desktop. Daarmee is de potentiële slachtoffergroep eerder klein, maar nog steeds significant. Wie de update om welke reden dan ook niet meteen kan installeren, kan Internet Explorer beter tijdelijk vermijden.
Afdrukprobleem
De nieuwe update pakt daarnaast ook een afdrukprobleem aan, dat lijkt te zijn veroorzaakt door de eerdere noodpatch van eind september.
“Om een ​​bekend afdrukprobleem aan te pakken dat klanten mogelijk ondervinden na het installeren van de beveiligingsupdates of IE cumulatieve updates die zijn vrijgegeven op 23 september 2019 voor CVE-2019-1367, brengt Microsoft nieuwe beveiligingsupdates, IE cumulatieve updates en maandelijkse updatepakketten uit voor alle toepasselijke installaties van Internet Explorer 9, 10 of 11 op Microsoft Windows”, zegt Microsoft in zijn beveiligingsadvies.