IT之家2月21日消息 IT之家此前報導,微軟Windows 7和Internet Explorer瀏覽器已經在1月15日結束技術支持,但是由於停止支持後仍然暴露了幾個Bug,導致微軟還無法停止修補這款不支持的作業系統。
被積極利用的Javascript引擎Bug導致微軟在IE9之前一直為舊瀏覽器發布新補丁。
CVE-2020-0674條目說明:
腳本引擎在處理Internet Explorer內存對象方式中存在一個遠程執行代碼漏洞。該漏洞可能以一種攻擊者方式在當前用戶的上下文中執行任意代碼來破壞內存。成功利用此漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。如果當前用戶使用管理用戶權限登錄,則成功利用此漏洞的攻擊者可以控制受影響的系統。然後,攻擊者可能會安裝程序、查看、更改或刪除數據;或創建具有完全用戶權限的新帳戶。
在基於Web的攻擊情形中,攻擊者可能擁有旨在通過Internet Explorer利用此漏洞的特製網站,然後誘使用戶查看該網站。攻擊者還可能在承載IE呈現引擎的應用程式或Microsoft Office文檔中嵌入標記為「初始化安全」的ActiveX控制項。攻擊者還可能利用受感染的網站以及接受或託管用戶提供的內容或廣告網站。這些網站可能包含可以利用此漏洞的特製內容。
該安全更新通過修改腳本引擎處理內存中對象的方式來解決漏洞。
IT之家了解到,該漏洞利用可以通過任何可承載HTML的應用程式(例如文檔或PDF)來觸發,並且在Windows 7、Windows 8.1和Windows 10上具有「嚴重」等級,並且目前正在被廣泛使用。微軟將發布針對所有這些作業系統以及Windows Server 2008、2012和2019的補丁程序。
CVE-2020-0674條目更新信息查看:點此連結。