莫斯科威 / 杀毒 / 微软警告提防 IE 零日漏洞,但尚未发布补丁

0 0

   

微软警告提防 IE 零日漏洞,但尚未发布补丁

2020-01-19  莫斯科威
IE零日漏洞与上周的Firefox零日漏洞有关联。


微软今天发布了一份有关 IE 漏洞的安全公告,这个零日漏洞目前正被人钻空子。

微软的安全公告(ADV200001)只列出了变通办法和缓解措施,用户可以采用这些方法,以保护易受攻击的系统免受攻击。

截至本文发稿时,这个漏洞还没有相应的补丁。微软表示它正在开发修复程序,要晚些时候发布。

虽然微软表示它已意识到IE零日漏洞在被人钻空子,但该公司称之为“有限的针对性攻击”,表示这个零日漏洞并没有被广泛使用,而是针对少数用户发动的攻击的一部分。

这种有限的IE零日攻击被认为是一场较大规模黑客活动的一部分,这场活动还针对Firefox用户发动了攻击。

与上周的Firefox零日漏洞有关联

上周Mozilla给一个类似的零日漏洞打上了补丁,该漏洞人用来攻击Firefox用户。 Mozilla将发现和报告Firefox零日漏洞归功于奇虎360。

奇虎360在一条现已被删除的推文中称,攻击者还在钻Internet Explorer零日漏洞的空子。这似乎是奇虎360研究人员当时提到的那个零日漏洞。

攻击者或攻击性质方面的信息并未透露。至于攻击方面的信息,奇虎360没有作出回复。

IE曝出RCE

从技术层面上来讲,微软将这个IE零日漏洞描述为远程代码执行(RCE)漏洞,而IE脚本引擎(处理JavaScript代码的浏览器组件)中的内存损坏缺陷导致了这个漏洞。

下面是微软对这个零日漏洞的技术说明:

脚本引擎处理Internet Explorer中内存中对象的方式存在一个远程执行代码漏洞。该漏洞可能会破坏内存,从而使攻击者可以在当前用户的上下文中执行任意代码。成功地钻该漏洞空子的攻击者可以获得与当前用户同样的用户权限。如果当前用户使用管理用户权限登录,成功地钻该漏洞空子的攻击者就可以控制受影响的系统。然后,攻击者可以安装程序,查看、更改或删除数据,或者创建拥有全面用户权限的新帐户。

在基于Web的攻击场景下,攻击者可能托管一个精心设计的网站,旨在通过Internet Explorer钻该漏洞的空子,然后诱使用户查看该网站(比如说通过发送电子邮件)。

微软表示,所有受支持的Windows桌面和Server OS版本都受到影响。

这个IE RCE零日漏洞目前还没有被分配一个CVE编号。

微软在2019年9月份和11月份对两个类似的IE零日打上了补丁。虽然IE不再是最新Windows OS版本中的默认浏览器,但这款浏览器仍与该操作系统一起安装。面临风险的群体主要是使用旧版本Windows的用户。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    猜你喜欢

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多
    喜欢该文的人也喜欢 更多