微软刚刚发布安全公告(ADV200001)称,一个 IE 0day (CVE-2020-0674) 已遭利用,而且暂无补丁,仅有应变措施和缓解措施。截止本文发稿前,目前该漏洞并不存在补丁。微软表示正在推出解决方案,将在后续发布。虽然微软表示该 IE 0day 已遭在野利用,但指出这些利用只发生在“有限的目标攻击中”,认为该0day 并未遭大规模利用,而只是针对少量用户攻击的一部分。这些有限的 IE 0day 攻击被指是更大规模的黑客活动的一部分,其中牵涉了针对火狐用户的攻击。
在技术层面,微软将该 IE 0day 漏洞描述为远程代码执行漏洞 (RCE),是由负责处理 JavaScript代码的浏览器组件 IE 脚本引擎中的内存损坏漏洞引发的。微软对该 0day 的描述为,“脚本引擎处理 IE 内存对象的方式中存在一个远程代码执行漏洞。该漏洞可损坏内存,导致攻击者以当前用户的上下文执行任意代码。成功利用该漏洞的攻击者可获得和当前用户同样的用户权限。如果当前用户以管理员用户权限登录,则成功利用该漏洞的攻击者能够控制受影响系统。之后攻击者能够安装程序;查看、更改或删除数据;或者以完整的用户权限创建新账户。在基于 web 的攻击场景中,攻击者能够托管特别构造的可通过 IE 浏览器利用该漏洞的网站,之后说服用户查看该网站,比如通过发送邮件的方式查看网站。”在默认情况下,Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019 以“增强的安全配置”受限制模式运行。“增强的安全配置”模式是IE的一组预配置设置,可降低用户或管理员下载并在服务器上运行特殊构造的 web 内容的可能性。它是针对尚未被加入“IE可信”站点区域的网站的一个缓解因素。对于32位系统,在管理员命令提示符中输入如下命令:
对于64位系统,在管理员命令提示符中输入如下命令:
微软表示,应用该应变措施可能导致依赖 javascript.dl 的组件或特征功能减少。微软推荐尽快安装更新实现完全防护。在安装更新前需要还原缓解步骤以返回到完整状态。在默认情况下,IE11、IE10和 IE9 用户使用的是未受该漏洞影响的 Jscript9.dll。该漏洞仅影响使用 Jscript 脚本引擎的某些网站。对于32位系统,在管理员命令提示符中输入如下命令:
对于64位系统,在管理员命令提示符中输入如下命令:
微软表示所有受支持的 Windows 桌面和 Server OS 版本均受影响。微软曾于2019年9月和11月修复两个类似的 IE 0day。仅IE 浏览器不再是最新 Windows OS版本的默认浏览器,但它仍然安装在操作系统中。使用老旧 Windows 版本的用户面临的风险最高。
https://www.zdnet.com/article/microsoft-warns-about-internet-explorer-zero-day-but-no-patch-yet/
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。