Sicherheitsupdate KB4483187 für Internet Explorer (19.12.2018)

Windows Update[English]Zum 19. Dezember 2018 hat Microsoft ein kumulatives Sicherheitsupdate KB4483187 für den Internet Explorer freigegeben. Hier einige Informationen zu diesem Update. Ergänzung: Unter Windows 10 wird das Ganze unter anderen KB-Nummern als kumulatives Update angeboten.


Anzeige

Allgemeine Informationen

Ich hatte gestern bereits eine Leseranfrage, ob ein Sonderupdate für den Internet Explorer zu erwarten sei. Heute hat mir Microsoft ein Security Advisory zu diesem Sachverhalt geschickt.

********************************************************************
Title: Microsoft Security Update Releases
Issued: December 19, 2018
********************************************************************

Summary
=======

The following CVE has been added to the December 2018 Security
Updates:

* CVE-2018-8653

Revision Information:
=====================

– CVE-2018-8653 | Scripting Engine Memory Corruption
Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance
– Reason for Revision: Information published.
– Originally posted: December 19, 2018
– Updated: N/A
– Aggregate CVE Severity Rating: Critical
– Version: 1.0

Details zum Update KB4483187 für den Internet Explorer


Werbung

Microsoft hat eine eigene Seite mit Details zum Update KB4483187 für den Internet Explorer veröffentlicht. Das Update schließt die Remote Execution-Schwachstelle CVE 2018 8653 beim Scripting.

Eine Sicherheitslücke bei der Ausführung von Remote-Code besteht in der Art und Weise, wie die Skript-Engine Objekte im Speicher im Internet Explorer behandelt. Die Schwachstelle könnte den Speicher so beschädigen, dass ein Angreifer beliebigen Code im Kontext des aktuellen Benutzers ausführen könnte. Ein Angreifer, der die Schwachstelle erfolgreich ausgenutzt hat, könnte die gleichen Benutzerrechte wie der aktuelle Benutzer erhalten.

Wenn der aktuelle Benutzer mit administrativen Benutzerrechten angemeldet ist, kann ein Angreifer, der die Sicherheitslücke erfolgreich ausgenutzt hat, die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit vollen Benutzerrechten erstellen.

In einem webbasierten Angriffsszenario könnte ein Angreifer eine speziell gestaltete Website hosten, die darauf ausgelegt ist, die Schwachstelle über den Internet Explorer auszunutzen und dann einen Benutzer davon zu überzeugen, die Website anzuzeigen, z.B. durch Senden einer E-Mail.
Das Sicherheitsupdate behebt die Schwachstelle, indem es ändert, wie die Skript-Engine Objekte im Speicher behandelt.

Bisher scheint es keine Ausnutzung der Schwachstelle ‘in the wild’ zu geben. Das Update steht für den Internet Explorerr  11 und frühere Version zur Verfügung. den Download gibt es auf dieser Seite. Das Update wird auch per Windows Update angeboten.

Wichtig: Wenn Sie nach der Installation dieses Updates ein Sprachpaket installieren, müssen Sie dieses Update neu installieren. Daher empfiehlt Microsoft, alle Sprachpakete vor der Installation dieses Updates zu installieren.

Bekannte Probleme

Nachdem Sie dieses Sicherheitsupdate auf einem Computer mit Windows Server 2012 R2 oder Windows 8.1 installiert haben, wird im Dialogfeld Info über Internet Explorer 11 KB4470199 (das Sicherheitsupdate vom 11. Dezember 2018 für Internet Explorer) anstelle von KB4483187 angezeigt. Benutzer können prüfen, ob sie geschützt sind, indem sie überprüfen, ob die Version von jscript.dll 5.8.9600.19230 ist.

Achtung, unterschiedliche KB-Nummern

Es klang in den Kommentaren schon an, Microsoft verwendet für die einzelnen Windows-Versionen unterschiedliche KB-Nummern für dieses Update. Hier die kumulativen Updates für Windows 10.

  • KB4483235 für Windows 10 V1809: Hebt die OS Build auf 17763.195
  • KB4483234 für Windows 10 V1803: Hebt die OS Build auf 17134.472
  • KB4483232 für Windows 10 V1709: Hebt die OS Build auf 16299.847
  • KB4483230 für Windows 10 V1703: Hebt die OS Build auf 15063.1508
  • KB483229 für Windows 10 V1607: Hebt die OS Build auf  14393.2670
  • KB4483228 für Windows 10 V1507: Hebt die OS Build auf  10240.18064

Für ältere Windows-Versionen und ältere IE-Varianten hält der Microsoft Update Catalog die Updates bereit. Zudem enthält der KB-Artikel 4483187 Hinweise.


Anzeige
Dieser Beitrag wurde unter Internet Explorer, Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

26 Responses to Sicherheitsupdate KB4483187 für Internet Explorer (19.12.2018)

  1. max sagt:

    Das Windows 7 Update KB4483187 wird nicht per Windows Update angeboten.
    Muss ich es downloaden und installieren?

  2. Anonymous sagt:

    Vielleicht ist Microsoft eine Möglichkeit bekannt, wie diese Schwachstelle ausgenutzt werden kann?
    Sonst würden die doch kein Update out-of-cycle freigeben, da wäre es wohl erst im Januar gepatcht worden :)

  3. Werbung

  4. brume sagt:

    Bei mir wurde eben (22:50) das kumulative Update KB4483235 für Windows 1809 installiert. Also nicht KB4483187.

  5. riedenthied sagt:

    Für den IE9 auf dem Server 2008/Vista ist das Update auch rausgekommen. Nur so als Zusatzinformation.

  6. gatser sagt:

    Benutze den IE nicht und habe ihn schon ewig in den Windows-Funktionen deaktiviert. Ist es dennoch notwendig das Update zu installieren?

  7. Scyllo sagt:

    Moin!

    Ich habe heute die Installation des KB4483187 unter Win 7 Home Premium zugelassen und dann (wirklich aus Versehen) leider abgebrochen.

    Jetzt, nach einem Neustart, findet Windows Update das KB4483187 zwar wieder, aber irgendwie bleibt der Vorgang nun bei “1 Update wird heruntergeladen (0 KB insgesamt, 0% abgeschlossen)” stehen – und das seit mehreren Minuten.

    Ist das normal so?

    • Günter Born sagt:

      Lade das Update aus dem Microsoft Update Catalog und probiere eine manuelle Installation.

      • Scyllo sagt:

        Danke für die rasche Antwort.

        Ich hatte noch etwas abgewartet; obwohl die ganze Zeit über 0 KB und 0% angezeigt wurden, erhielt ich letztendlich den Hinweis, dass das Update installiert wurde und ich das System neu starten soll.

        Weswegen da nun keinerlei Fortschrittsanzeige mehr erfolgt (woraufhin man ja eigentlich denken sollte, dass rein gar nichts mehr passiert und den “Vorgang” evtl. erneut abbricht), ist mir irgendwie ein Rätsel.

    • wufuc_MaD sagt:

      ansonsten, hier:

      wureset.com

      es gibt nichts besseres zur updatefunktions-reparatur! funzt immer.

  8. Werbung

  9. Anonymous sagt:

    heise.de stuft es als Notfallpatch ein:
    https://www.heise.de/security/meldung/Notfallpatch-Angreifer-maltraetieren-Internet-Explorer-mit-Schadcode-4257149.html
    Die Installation unter Windows 8.1 hat geklappt.

  10. ID sagt:

    Hallo,

    trotz integriertem “Kumulatives Sicherheitsupdate für Internet Explorer: 9 April 2019” wird der KB4483187 über WindowsUpdate angeboten

    Sehr seltsam…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.