Kritisk sårbarhet i Internet Explorer

Den 17 januari publicerade Microsoft information om en sårbarhet, CVE-2020-0674, i Internet Explorer som gör det möjligt att exekvera kod (RCE) med samma rättigheter som användaren. [1]

Sårbarheten ligger i Internet Explorers skriptmotor och dess minnesanvändning när den kör jscript, ej vidare specificerad av Microsoft. Av deras sårbarhetsvarning att döma kommer inte Microsoft komma ut med en säkerhetsuppdatering för sårbarheten förrän nästa patch-tisdag, 2020-02-11. Microsoft är medvetna om att sårbarheten redan utnyttjats i viss omfattning.

Påverkade produkter

Sårbarheten påverkar bland annat Internet Explorer 11 på Windows 10, 8.1 och 7 samt på Windows Server 2019, 2016, 2012 och 2008. Även Internet Explorer 10 på Windows Server 2012 och Internet Explorer 9 på Windows Server 2008.

Se [1] för en komplett lista.

Rekommendationer

CERT-SE rekommenderar att, tills en säkerhetsuppdatering kunnat appliceras, sårbarheten hanteras genom att använda andra webbläsare. Om en verksamhet är beroende av Internet Explorer, men inte jscript, kan sårbarheten mitigeras genom att hindra att jscript.dll används. Hur finns beskrivet på [1].

Källor

[1] https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001#ID0EN