才在上周二Patch Tuesday修補49個安全漏洞的微軟,又在上周五(1/17)公布一安全通報(Security Advisory),指出IE瀏覽器含有一個記憶體毀損漏洞,將允許駭客自遠端執行任意程式,而且坊間已出現針對該漏洞的目標式攻擊。

此一零時差漏洞的編號為CVE-2020-0674,存在於腳本引擎處理記憶體物件的方式,此一漏洞可用來破壞記憶體,成功的開採將允許駭客取得使用者權限,若使用者以管理員權限登入,代表駭客也能掌控整個系統,任意安裝程式、變更或刪除資料,也能建立具備完整使用者權限的新帳號。

駭客得以建立一個專門開採該漏洞的網站,並以電子郵件或其它途徑誘導IE用戶造訪,伺機入侵受害者系統。

此一漏洞影響了Windows Server 2008上的IE 9、Windows Server 2012上的IE 10,Windows 7/8.1/10上的IE 11,以及Windows Server 2016/2019上的IE 11。

美國電腦緊急回應團隊協調中心(CERT Coordination Center,CERT/CC)亦針對此一漏洞提出了警告,該中心提供了更詳細的解釋,指出IE含有一個專門用來處理VBScript或JScript等腳本程式的腳本引擎,其中的JScript元件含有一個記憶體毀損漏洞,任何支援嵌入式IE或其腳本引擎元件的應用程式,都可能被用來作為攻擊媒介。

CERT/CC還描繪了更多的攻擊場景,指出駭客只要誘導使用者造訪一個特製的HTML文件、PDF檔案、微軟Office文件,或是任何支援嵌入式IE腳本引擎內容的文件,就有機會開採該漏洞。

該漏洞在不同平台上有著不同的嚴重程度,由於Windows Sever平台上的IE都採用增強式安全性設定(Enhanced Security Configuration)作為預設值,代表它是在受限模式中執行,可減少使用者下載或執行特製內容的機會,因此在這些平台上的漏洞嚴重性只有中度,但在7/8.1/10平台上則屬於重大漏洞。微軟建議IE用戶可限制對JScript.dll的存取能力,以降低該漏洞所帶來的威脅。

微軟已著手修補該漏洞,並說標準程序是在下個月的第二個周二修補,並未承諾提前修補。此外,微軟已於今年1月14日終止支援的Windows 7也受到此一漏洞的波及,外界亦關心微軟是否會破例修補該平台上的CVE-2020-0674漏洞。


Advertisement

更多 iThome相關內容