Enligt ett säkerhetsråd som publicerats av Microsoft i samband med uppdateringen kan sårbarheten i Internet Explorer (IE) användas för att exekvera skadlig kod på offrets dator. Sårbarheten upptäcktes i går av Clement Lecigne på Googles Threat Analysis Group.

Denna sårbarhet, trackad som CVE-2018-8653, kan utnyttjas om offret luras till en webbsida som kör skadlig kod på offrets dator. Sårbarheten gäller även applikationer som använder en inbyggd skriptmotor baserad på IE för att rendera webbinnehåll, till exempel delar av Office-paketet, skriver ZDNet.

En förmildrande omständighet är att förövaren endast kan exekvera kod på samma användarnivå som offret. Om offret har begränsade privilegier i systemet blir skadan begränsad, men det kan å andra sidan vara tillräckligt för att placera ut skadlig kod på datorn.

Men saken är lite mer komplicerad än så. Under hösten har Microsoft lappat fyra andra dag-noll-sårbarheter, och alla dessa handlar om att höja användarrättigheter. Det betyder att om ett offer för den senaste sårbarheten missat någon av de tidigare fyra uppdateringarna kan förövaren koppla ihop denna sårbarhet med någon av de tidigare och på så sätt höja sin användarnivå.

De fyra tidigare sårbarheterna är trackade som CVE-2018-8611, CVE-2018-8589, CVE-2018-8453 och CVE-2018-8440.

Microsoft har nu publicerat flera dokument för att beskriva den senaste sårbarheten; dessa dokument är: KB4483187, KB4483230, KB4483234, KB4483235, KB4483232, KB4483228, KB4483229 och KB4483187.

Eftersom det lackar mot jul är Microsoft oroligt för att många systemadministratörer inte ska hinna utvärdera och installera uppdateringarna. Därför innehåller CVE-2018-8653 även råd för hur administratörer kan begränsa tillgången till skriptmotorn i IE i väntan på uppdateringen.

Microsoft Edge påverkas inte av denna sårbarhet.

Läs också:
Nu finns de senaste fixarna för Windows 10 att ladda hem – hög tid att uppdatera
Mozilla ”djupt oroliga” över att Microsoft dödar Edge