Microsoft lanza actualización de seguridad de emergencia para Internet Explorer

Microsoft lanzó una actualización de seguridad de emergencia fuera de banda para Internet Explorer el 23 de septiembre de 2019 para todas las versiones compatibles de Windows.

La actualización de emergencia solo está disponible en el sitio web del Catálogo de Microsoft Update en el momento de redactar este artículo y no a través de Windows Update o WSUS.



Algunos artículos de soporte brindan poca información. La descripción de la actualización de Windows 10 simplemente dice '
Actualizaciones para mejorar la seguridad al usar Internet Explorer 'sin entrar en más detalles. La página enlaza con la Guía de actualización de seguridad que, después de investigar un poco, conduce al CVE de la vulnerabilidad.

internet explorer security out of band

La página de soporte para la actualización acumulativa de Internet Explorer ofrece más información y un enlace directo al CVE.



Afirma:

Esta actualización de seguridad resuelve una vulnerabilidad en Internet Explorer. Existe una vulnerabilidad de ejecución remota de código en la forma en que el motor de secuencias de comandos maneja los objetos en la memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. La actualización de seguridad corrige la vulnerabilidad al cambiar la forma en que el motor de secuencias de comandos maneja los objetos en la memoria.

También se proporciona la misma información en la página CVE. Microsoft señala que un atacante podría tomar el control del sistema atacado si el ataque tiene éxito, lo que le permitiría instalar o eliminar programas, ver, cambiar o eliminar archivos, o crear nuevas cuentas de usuario.

El problema de seguridad se explota activamente según Microsoft; un atacante podría crear un sitio web preparado específicamente para aprovechar el problema en Internet Explorer.

Microsoft publicó una solución alternativa para proteger los sistemas si las actualizaciones publicadas no se pueden instalar en este momento. La solución alternativa puede reducir la funcionalidad 'para componentes o características que dependen de jscript.dll'.

Los comandos deben ejecutarse desde un símbolo del sistema elevado.

Solución alternativa para sistemas de 32 bits:

  • takeown / f% windir% system32 jscript.dll
  • cacls% windir% system32 jscript.dll / E / P todos: N

Solución alternativa para sistemas de 64 bits:

  • takeown / f% windir% syswow64 jscript.dll
  • cacls% windir% syswow64 jscript.dll / E / P todos: N
  • takeown / f% windir% system32 jscript.dll
  • cacls% windir% system32 jscript.dll / E / P todos: N

La solución se puede deshacer ejecutando los siguientes comandos desde un símbolo del sistema elevado:

Deshacer 32 bits:

  • cacls% windir% system32 jscript.dll / E / R todos

Deshacer 64 bits

  • cacls% windir% system32 jscript.dll / E / R todos
  • cacls% windir% syswow64 jscript.dll / E / R todos

Lista de actualizaciones que corrigen la vulnerabilidad:

  • Windows 10 versión 1903: KB4522016
  • Windows 10 versión 1809 y Server 2019: KB4522015
  • Windows 10 versión 1803: KB4522014
  • Windows 10 versión 1709: KB4522012
  • Windows 10 versión 1703: KB4522011
  • Windows 10 versión 1607 y Server 2016: KB4522010
  • Actualización acumulativa de IE para versiones anteriores de Windows: KB4522007

¿Qué pasa con las actualizaciones de Windows?

Microsoft no ha lanzado la actualización a través de Windows Update o WSUS. Susan Bradley notas que la compañía podría lanzar la actualización el 24 de septiembre de 2019 a través de Windows Update y WSUS, pero eso no ha sido confirmado por Microsoft.

Es un poco desconcertante que Microsoft publique una actualización de seguridad fuera de banda que resuelve un problema que se explota en la naturaleza, pero elige lanzarlo como una actualización que solo debe descargarse e instalarse manualmente.

Palabras de cierre

¿Debería o no instalar la actualización de inmediato? Es una actualización de seguridad, pero solo está disponible a través del sitio web del Catálogo de actualizaciones de Microsoft en el momento de redactar este artículo.

Todavía recomendaría instalarlo, pero debería crear una copia de seguridad del sistema, p. utilizando Reflejo de macrium o Paragon Backup & Recover Gratis, antes de hacerlo, como nunca se sabe, en estos días las actualizaciones introducen efectos secundarios no deseados o problemas propios.

Ahora tu: instale o espere, cual es su posicion?