Microsoft hari ini merilis pembaruan keamanan untuk Internet Explorer 10, Internet Explorer 11, dan Microsoft Edge yang memperbarui pustaka Adobe Flash yang dibundel. Patch ini hanya tersedia untuk pengguna Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, dan Windows 10 dan mengatasi kerentanan yang memungkinkan penyerang mengeksekusi kode dari jarak jauh pada mesin yang diserang. Sangat disarankan agar semua pengguna segera menginstal pembaruan ini agar Internet Explorer tidak lagi rentan.
Penting untuk dicatat bahwa meskipun Anda tidak menggunakan Internet Explorer, aplikasi lain yang menggunakannya akan tetap rentan. Misalnya, Microsoft Office 2007 dan 2010 keduanya menggunakan Internet Explorer dan akan rentan jika pembaruan ini tidak diinstal.
Dalam penasihat keamanan Microsoft, mereka menjelaskan bagaimana penyerang dapat menggunakan kerentanan ini:
Dalam skenario serangan berbasis web di mana pengguna menggunakan Internet Explorer untuk desktop, penyerang dapat meng-host situs web yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan ini melalui Internet Explorer dan kemudian meyakinkan pengguna untuk melihat situs web. Penyerang juga dapat menyematkan kontrol ActiveX yang ditandai "aman untuk inisialisasi" dalam aplikasi atau dokumen Microsoft Office yang menghosting mesin rendering IE. Penyerang juga dapat memanfaatkan situs web dan situs web yang disusupi yang menerima atau menghosting konten atau iklan yang disediakan pengguna. Situs web ini dapat berisi konten yang dibuat khusus yang dapat mengeksploitasi salah satu dari kerentanan ini. Namun, dalam semua kasus, penyerang tidak akan memiliki cara untuk memaksa pengguna melihat konten yang dikendalikan penyerang. Sebaliknya, penyerang harus meyakinkan pengguna untuk mengambil tindakan, biasanya dengan mengklik tautan dalam pesan email atau pesan Instant Messenger yang membawa pengguna ke situs web penyerang, atau dengan membuka lampiran yang dikirim melalui email.
Dalam skenario serangan berbasis web di mana pengguna menggunakan Internet Explorer di UI gaya Windows 8, penyerang pertama-tama harus mengkompromikan situs web yang sudah terdaftar dalam daftar Tampilan Kompatibilitas (CV). Penyerang kemudian dapat meng-host situs web yang berisi konten Flash yang dibuat khusus yang dirancang untuk mengeksploitasi kerentanan ini melalui Internet Explorer dan kemudian meyakinkan pengguna untuk melihat situs web tersebut. Seorang penyerang tidak akan memiliki cara untuk memaksa pengguna untuk melihat konten yang dikendalikan penyerang. Sebaliknya, penyerang harus meyakinkan pengguna untuk mengambil tindakan, biasanya dengan mengklik tautan dalam pesan email atau pesan Instant Messenger yang membawa pengguna ke situs web penyerang, atau dengan membuka lampiran yang dikirim melalui email.
Dapatkan pembaruan!