Z powodu Internet Explorera znowu trzeba będzie zrestartować komputer! Wyjątkowo, bo z pominięciem Patch Tuesday, Microsoft udostępnił awaryjne łatki dla wspieranych wersji Windows. Krytyczną lukę w zabezpieczeniach IE odkrył badacz zabezpieczeń z Google. Poprawka udostępniana jest w formie aktualizacji, zmieniającej numer kompilacji systemu. Pytanie, komu to potrzebne.
Odkrytą podatność o identyfikatorze CVE-2018-8653 nazwano Scripting Engine Memory Corruption Vulnerability. Jest to luka, umożliwiająca zdalne wykonanie kodu, istniejąca w silniku odpowiedzialnym za obsługę obiektów w pamięci. Dotyczy to wyłącznie przeglądarki Internet Explorer. Podatność pozwala atakującemu wykonywać arbitralny kod w kontekście bieżącego użytkownika, a także przejąć jego uprawnienia. Jeśli użytkownik zalogowany jest jako administrator, takie same uprawnienia zyskuje atakujący. Do ataku dochodzi za pośrednictwem spreparowanej strony internetowej, którą użytkownik musi otworzyć w IE. Atakujący może go do tego nakłonić, np. wysyłając maila z linkiem. Tylko kto o zdrowych zmysłach otwiera dziś cokolwiek w Internet Explorerze?
Łatki w formie aktualizacji zbiorczych IE/aktualizacji zabezpieczeń ukazały się dla przeglądarki w wersjach od 9 do 11, dla systemów Windows Server 2008, 2012 R2, 2012 i 2019, Windows RT 8.1, Windows 8.1, Windows 7 i Windows 10, począwszy od wersji 1607, kończąc na 1809. Z istotnych dla użytkowników wersji warto wymienić:
- Windows 10 19H1 - aktualizacja KB4483214 (build 18305.1003)
- Windows 10 October 2018 Update - aktualizacja KB4483235 (build 17763.195)
- Windows 10 April 2018 Update - aktualizacja KB4483234 (build 17134.472)
- Windows 10 Fall Creators Update - aktualizacja KB4483232 (build 16299.847)
- Windows 10 Creators Update - aktualizacja KB4483230 (build 15063.1508)
- Windows 10 Anniversary Update - aktualizacja KB4483229 (build 14393.2670)
Według danych z listopada z portalu NetMarketShare przeglądarki Internet Explorer 11 używa 7,42% użytkowników PC, a Internet Explorer 8 - 0.95%. To nadal więcej, niż ma Edge (4,22%), ale dużo mniej, niż Chrome (65,57%) i Firefox (8,96%). Aktualizacja tego typu jest więc koniecznością, bo IE jest oficjalnie dalej wspierany, więc musi być łatany. Oczywiście zadajemy sobie pytanie, komu to wsparcie jest jeszcze potrzebne. Przecież istnieje tyle dużo lepszych i nowocześniejszych przeglądarek, które otrzymują co chwilę nowe funkcje, a nie tylko kolejne łatki bezpieczeństwa. My czekamy raczej na aktualizację, która pozwoliłaby nam usunąć Internet Explorera z Windows!