IE 出新漏洞 Bug ，迫使微軟再推送 Windows 7 補丁

IT之家2月21日消息 IT之家此前報道，微軟Windows 7和Internet Explorer瀏覽器已經(jīng)在1月15日結(jié)束技術(shù)支持，但是由于停止支持后仍然暴露了幾個Bug，導(dǎo)致微軟還無法停止修補這款不支持的操作系統(tǒng)。

被積極利用的Javascript引擎Bug導(dǎo)致微軟在IE9之前一直為舊瀏覽器發(fā)布新補丁。

CVE-2020-0674條目說明：

腳本引擎在處理Internet Explorer內(nèi)存對象方式中存在一個遠程執(zhí)行代碼漏洞。該漏洞可能以一種攻擊者方式在當(dāng)前用戶的上下文中執(zhí)行任意代碼來破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理用戶權(quán)限登錄，則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。然后，攻擊者可能會安裝程序、查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新帳戶。

在基于Web的攻擊情形中，攻擊者可能擁有旨在通過Internet Explorer利用此漏洞的特制網(wǎng)站，然后誘使用戶查看該網(wǎng)站。攻擊者還可能在承載IE呈現(xiàn)引擎的應(yīng)用程序或Microsoft Office文檔中嵌入標記為“初始化安全”的ActiveX控件。攻擊者還可能利用受感染的網(wǎng)站以及接受或托管用戶提供的內(nèi)容或廣告網(wǎng)站。這些網(wǎng)站可能包含可以利用此漏洞的特制內(nèi)容。

該安全更新通過修改腳本引擎處理內(nèi)存中對象的方式來解決漏洞。

IT之家了解到，該漏洞利用可以通過任何可承載HTML的應(yīng)用程序（例如文檔或PDF）來觸發(fā)，并且在Windows 7、Windows 8.1和Windows 10上具有“嚴重”等級，并且目前正在被廣泛使用。微軟將發(fā)布針對所有這些操作系統(tǒng)以及Windows Server 2008、2012和2019的補丁程序。

CVE-2020-0674條目更新信息查看：點此鏈接。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。