时间:2020-02-23 来源:系统堂 游览量: 次
新开发的IE漏洞迫使微软再次修补Windows 7
Windows7和Internet Explorer上个月都打算退出支持,但微软似乎无法停止修补其不支持的操作系统。
一个积极开发的JavaScript引擎错误导致微软发布了一个新的浏览器补丁,一直到IE9。
CVE-2020-064条目注释:
远程脚本执行漏洞以脚本引擎处理Internet Explorer中内存中对象的方式存在。该漏洞可能会破坏攻击者,使得攻击者可以在当前用户的上下文中执行任意代码。成功利用漏洞的攻击者可以获得与当前用户相同的用户权限。如果使用管理用户权限登录当前用户,成功利用该漏洞的攻击者可以控制受影响的系统。攻击者然后可以安装程序;查看、更改或删除数据;或者创建具有完全用户权限的新帐户。
在一个基于网络的攻击场景中,攻击者可以托管一个专门制作的网站,目的是通过Internet Explorer利用漏洞,然后说服用户查看网站。攻击者还可以嵌入一个标记为“安全初始化”的ActiveX控件,该应用程序位于托管IE渲染引擎的应用程序或微软Office文档中。攻击者还可以利用受损网站和接受或提供用户提供的内容或广告的网站。这些网站可以包含特殊的内容,可以利用漏洞。
安全更新通过修改脚本引擎如何处理内存中的对象来解决漏洞。
开发可以通过任何可以托管HTML的应用程序来触发,例如文档或PDF,并且它在Windows7、8.1和10上具有关键的评级,并且目前正在野外积极开发。微软发布了所有这些操作系统的补丁,还有Windows Server 2008, 2012和2019。