微软警告提防 IE 零日漏洞，但尚未发布补丁

IE零日漏洞与上周的Firefox零日漏洞有关联。

微软今天发布了一份有关 IE 漏洞的安全公告，这个零日漏洞目前正被人钻空子。

微软的安全公告（ADV200001）只列出了变通办法和缓解措施，用户可以采用这些方法，以保护易受攻击的系统免受攻击。

截至本文发稿时，这个漏洞还没有相应的补丁。微软表示它正在开发修复程序，要晚些时候发布。

虽然微软表示它已意识到IE零日漏洞在被人钻空子，但该公司称之为“有限的针对性攻击”，表示这个零日漏洞并没有被广泛使用，而是针对少数用户发动的攻击的一部分。

这种有限的IE零日攻击被认为是一场较大规模黑客活动的一部分，这场活动还针对Firefox用户发动了攻击。

与上周的Firefox零日漏洞有关联

上周Mozilla给一个类似的零日漏洞打上了补丁，该漏洞人用来攻击Firefox用户。 Mozilla将发现和报告Firefox零日漏洞归功于奇虎360。

奇虎360在一条现已被删除的推文中称，攻击者还在钻Internet Explorer零日漏洞的空子。这似乎是奇虎360研究人员当时提到的那个零日漏洞。

攻击者或攻击性质方面的信息并未透露。至于攻击方面的信息，奇虎360没有作出回复。

IE曝出RCE

从技术层面上来讲，微软将这个IE零日漏洞描述为远程代码执行（RCE）漏洞，而IE脚本引擎（处理JavaScript代码的浏览器组件）中的内存损坏缺陷导致了这个漏洞。

下面是微软对这个零日漏洞的技术说明：

脚本引擎处理Internet Explorer中内存中对象的方式存在一个远程执行代码漏洞。该漏洞可能会破坏内存，从而使攻击者可以在当前用户的上下文中执行任意代码。成功地钻该漏洞空子的攻击者可以获得与当前用户同样的用户权限。如果当前用户使用管理用户权限登录，成功地钻该漏洞空子的攻击者就可以控制受影响的系统。然后，攻击者可以安装程序，查看、更改或删除数据，或者创建拥有全面用户权限的新帐户。

在基于Web的攻击场景下，攻击者可能托管一个精心设计的网站，旨在通过Internet Explorer钻该漏洞的空子，然后诱使用户查看该网站（比如说通过发送电子邮件）。

微软表示，所有受支持的Windows桌面和Server OS版本都受到影响。

这个IE RCE零日漏洞目前还没有被分配一个CVE编号。

微软在2019年9月份和11月份对两个类似的IE零日打上了补丁。虽然IE不再是最新Windows OS版本中的默认浏览器，但这款浏览器仍与该操作系统一起安装。面临风险的群体主要是使用旧版本Windows的用户。