微軟警告提防 IE 零日漏洞，但尚未發(fā)布補丁

板橋胡同37號 2020-01-19

展開全文

IE零日漏洞與上周的Firefox零日漏洞有關(guān)聯(lián)。

微軟今天發(fā)布了一份有關(guān) IE 漏洞的安全公告，這個零日漏洞目前正被人鉆空子。

微軟的安全公告（ADV200001）只列出了變通辦法和緩解措施，用戶可以采用這些方法，以保護易受攻擊的系統(tǒng)免受攻擊。

截至本文發(fā)稿時，這個漏洞還沒有相應(yīng)的補丁。微軟表示它正在開發(fā)修復(fù)程序，要晚些時候發(fā)布。

雖然微軟表示它已意識到IE零日漏洞在被人鉆空子，但該公司稱之為“有限的針對性攻擊”，表示這個零日漏洞并沒有被廣泛使用，而是針對少數(shù)用戶發(fā)動的攻擊的一部分。

這種有限的IE零日攻擊被認為是一場較大規(guī)模黑客活動的一部分，這場活動還針對Firefox用戶發(fā)動了攻擊。

與上周的Firefox零日漏洞有關(guān)聯(lián)

上周Mozilla給一個類似的零日漏洞打上了補丁，該漏洞人用來攻擊Firefox用戶。 Mozilla將發(fā)現(xiàn)和報告Firefox零日漏洞歸功于奇虎360。

奇虎360在一條現(xiàn)已被刪除的推文中稱，攻擊者還在鉆Internet Explorer零日漏洞的空子。這似乎是奇虎360研究人員當(dāng)時提到的那個零日漏洞。

攻擊者或攻擊性質(zhì)方面的信息并未透露。至于攻擊方面的信息，奇虎360沒有作出回復(fù)。

IE曝出RCE

從技術(shù)層面上來講，微軟將這個IE零日漏洞描述為遠程代碼執(zhí)行（RCE）漏洞，而IE腳本引擎（處理JavaScript代碼的瀏覽器組件）中的內(nèi)存損壞缺陷導(dǎo)致了這個漏洞。

下面是微軟對這個零日漏洞的技術(shù)說明：

腳本引擎處理Internet Explorer中內(nèi)存中對象的方式存在一個遠程執(zhí)行代碼漏洞。該漏洞可能會破壞內(nèi)存，從而使攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼。成功地鉆該漏洞空子的攻擊者可以獲得與當(dāng)前用戶同樣的用戶權(quán)限。如果當(dāng)前用戶使用管理用戶權(quán)限登錄，成功地鉆該漏洞空子的攻擊者就可以控制受影響的系統(tǒng)。然后，攻擊者可以安裝程序，查看、更改或刪除數(shù)據(jù)，或者創(chuàng)建擁有全面用戶權(quán)限的新帳戶。

在基于Web的攻擊場景下，攻擊者可能托管一個精心設(shè)計的網(wǎng)站，旨在通過Internet Explorer鉆該漏洞的空子，然后誘使用戶查看該網(wǎng)站（比如說通過發(fā)送電子郵件）。

微軟表示，所有受支持的Windows桌面和Server OS版本都受到影響。

這個IE RCE零日漏洞目前還沒有被分配一個CVE編號。

微軟在2019年9月份和11月份對兩個類似的IE零日打上了補丁。雖然IE不再是最新Windows OS版本中的默認瀏覽器，但這款瀏覽器仍與該操作系統(tǒng)一起安裝。面臨風(fēng)險的群體主要是使用舊版本W(wǎng)indows的用戶。