聚焦源代码安全,网罗国内外最新资讯!
作者:Swati Khandelwal
编译:360代码卫士团队
微软紧急发布带外补丁,修复已遭利用的严重的 IE 浏览器 0day 漏洞。
谷歌威胁分析团队的安全研究员 Clement Lecigne 发现了这个漏洞 CVE-2018-8653。它是存在于 IE 浏览器脚本引擎中的一个远程代码执行漏洞。
微软在安全公告中指出,负责处理脚本语言的微软 IE 脚本引擎 JSript 组件中存在一个未明确的内存损坏漏洞。如遭成功利用,该漏洞可导致攻击者在当前用户的上下文中执行任意代码。
安全公告指出,“如果当前用户以管理员用户权限登录,成功利用该漏洞的攻击者能够控制受影响系统。攻击者随后就能够安装程序;查看、修改或删除数据;或者以完整的用户权限创建新账户。”
此外,远程攻击者还能够通过诱骗受害者查看特殊构造的 HTML 文档(如网页或邮件服务)、MS Office 文档、PDF 文件或其它支持嵌入式 IE 脚本引擎内容的文档攻击受害者。
这个 IE 0day 漏洞影响 Windows Server 2008 的 IE 9 浏览器、Windows Server 2012 的 IE 10 浏览器、Windows 7 到 Windows 10 的 IE 11 浏览器、以及 Windows Server 2019、Windows Server 2016、Windows Server 2008 R2 和 Windows Server 2012 R2 IE 11 浏览器。
谷歌或微软均未公开披露关于这个 IE 0day 漏洞的任何具体技术详情、PoC 代码或者利用这个 RCE 漏洞发动的网络攻击的详情。
由于该漏洞已遭利用,使其成为严重的 0day 漏洞,因此强烈建议用户尽快安装由微软提供的最新安全更新。
无法立即部署补丁的用户可通过限制到 jscript.dll 文件的方式缓解该威胁,方法是以管理员权限在命令提示符中运行如下命令,但不推荐使用该方法。
32位系统 — cacls%windir%\system32\jscript.dll /E /P everyone:N
64位系统 — cacls%windir%\syswow64\jscript.dll /E /P everyone:N
应该注意的是,以上命令将强制 IE 浏览器使用 Jscript9.dll,但依赖 Jscript.dll 的网站将无法响应。
推荐阅读
原文链接
https://thehackernews.com/2018/12/internet-explorer-zero-day.html
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。