Microsoft mengeluarkan tambalan untuk Internet Explorer nol hari
Apa yang baru saja terjadi? Microsoft Internet Explorer hanya memiliki sebagian kecil dari pasar browser desktop, tetapi banyak orang masih menggunakannya. Mereka yang melakukannya harus memperbarui program tanpa penundaan setelah Microsoft mengeluarkan pembaruan keamanan out-of-band yang memperbaiki kerentanan kritis.
Kemarin, Microsoft menerbitkan CVE-2019-1367, kerentanan eksekusi kode jarak jauh yang ada dalam cara mesin skrip menangani objek dalam memori di Internet Explorer.
Kerentanan yang ditemukan oleh Clément Lecigne dari Project Zero Threat Analysis Group Google, hadir di setiap versi Internet Explorer untuk Windows 7, 8.1, dan 10. Microsoft menulis bahwa "Kerentanan dapat merusak memori sedemikian rupa sehingga penyerang dapat mengeksekusi kode arbitrer dalam konteks pengguna saat ini."
Yang paling memprihatinkan adalah jika target masuk dengan hak administratif. Ini akan memungkinkan penyerang mengeksploitasi kerentanan untuk mengendalikan sistem yang terkena dampak, memungkinkan mereka untuk "menginstal program; melihat, mengubah, atau menghapus data; atau buat akun baru dengan hak pengguna penuh. "
Penyerang dapat membuat situs web yang dibuat khusus yang mengeksploitasi kerentanan melalui Internet Explorer. Mereka mungkin meyakinkan seseorang untuk melihat situs web dengan mengirimkan mereka tautan dalam surel, misalnya.
Perbaikan kerentanan keamanan di luar band CVE-2019-1367 dan CVE-2019-1255 telah dirilis hari ini. Untuk informasi lebih lanjut silakan lihat https://t.co/QMUM53m8so dan https://t.co/vy3d0wXWng.
– Respon Keamanan (@msftsecresponse) 23 September 2019
Microsoft mengatakan kerentanan sedang dieksploitasi secara aktif di alam, sehingga memperbarui IE atau pindah ke browser lain sangat disarankan.
Project Zero Google menjadi berita utama baru-baru ini setelah menemukan koleksi situs yang diretas digunakan untuk menginfeksi ribuan iPhone dengan perangkat lunak berbahaya. Kemudian terungkap bahwa situs juga menargetkan Google dan Windows pengguna, dan kampanye mungkin merupakan cara bagi Cina untuk memata-matai Muslim Uighur.