Microsoft ha rilasciato un aggiornamento di sicurezza per Internet Explorer il 19 dicembre 2018 che corregge un problema di sicurezza nel motore di scripting.
Microsoft descrive il problema nel modo seguente:
Esiste una vulnerabilità legata all'esecuzione di codice in modalità remota nel modo in cui il motore di scripting gestisce gli oggetti in memoria in Internet Explorer.
Il problema è archiviato sotto CVE-2018-8653. La pagina di avviso di sicurezza per CVE-2018-8653 offre ulteriori dettagli. La vulnerabilità può essere utilizzata dagli aggressori per eseguire codice arbitrario nel contesto dell'utente se sfruttata correttamente.
Se un utente ha diritti amministrativi, anche l'autore dell'attacco otterrà questi diritti; ciò consentirebbe all'attaccante di installare ed eseguire software e, tra le altre cose, modificare le impostazioni di sistema.
Dalla descrizione sembra che sia sufficiente aprire un sito Web appositamente preparato in Internet Explorer per essere infettati. Anche Woody la pensa così.
Il problema di sicurezza riguarda Internet Explorer 11, 10 e 9 su tutte le versioni client e server supportate di Windows. In particolare, risolve il problema sui dispositivi che eseguono Windows 7, Windows 8.1 e Windows 10 e Windows Server 2008 e 2012, Windows Server 2012 R2, Windows Server 2016 e Windows Server 2019.
L'aggiornamento è disponibile come aggiornamento cumulativo per Internet Explorer e Windows. Microsoft ha già abilitato l'aggiornamento su Windows Update ma può anche essere scaricato dal sito Web del catalogo di Microsoft Update.
Link al sito Web del catalogo di Microsoft Update:
- Windows 7, 8.1, Windows Server 2008 e 2008 R2, Windows Server 2012, 2012 R2 e Windows Embedded: KB4483187
- Windows 10 versione 1793: KB4483230
- Windows 10 versione 1803: KB4483234
- Windows 10 versione 1809: KB4483235
Si noti che non è consigliabile eseguire un "controllo aggiornamenti" su Windows Update in quanto potrebbe fornire aggiornamenti che non si desidera installare sul dispositivo; potrebbe trattarsi di un nuovo aggiornamento delle funzionalità per Windows 10.
L'aggiornamento cumulativo per la protezione di Internet Explorer presenta un problema noto che riguarda i dispositivi che eseguono Windows 8.1 o Windows Server 2012 R2. La finestra di dialogo "Informazioni su Internet Explorer 11" mostra KB4470199 dell'11 dicembre 2018 e non il nuovo aggiornamento.
Microsoft nota che gli utenti possono confermare che il sistema è corretto controllando che jscript.dll abbia la versione 5.8.9600.19230. Il file si trova in C: \ Windows \ System32 \ jscript.dll
