|
Windows 7和IE瀏覽器都已經(jīng)于上月停止支持,但由于最新曝光的嚴(yán)重IE漏洞微軟決定再次為Windows 7系統(tǒng)提供安全補(bǔ)丁����。在發(fā)現(xiàn)了一個(gè)被黑客廣泛使用的JavaScript引擎漏洞之后,微軟決定為所有IE 9之前的舊版瀏覽器提供安全更新���。 
CVE-2020-0674公告中寫(xiě)道: 這個(gè)遠(yuǎn)程代碼執(zhí)行漏洞存在于IE瀏覽器處理腳本引擎對(duì)象的內(nèi)存中���。該漏洞可能以一種攻擊者可以在當(dāng)前用戶(hù)的上下文中執(zhí)行任意代碼的方式來(lái)破壞內(nèi)存���。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶(hù)相同的用戶(hù)權(quán)限。 如果當(dāng)前用戶(hù)使用管理用戶(hù)權(quán)限登錄���,則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)��。然后����,攻擊者可能會(huì)安裝程序���。查看�����,更改或刪除數(shù)據(jù)��;或創(chuàng)建具有完全用戶(hù)權(quán)限的新帳戶(hù)���。 在網(wǎng)絡(luò)攻擊情境中��,攻擊者可能會(huì)制作專(zhuān)門(mén)利用該IE漏洞的特制網(wǎng)站,然后誘使用戶(hù)查看該網(wǎng)站���。攻擊者能夠訪問(wèn)托管在IE渲染引擎上的應(yīng)用或者微軟Office辦公文檔中嵌入標(biāo)記為“初始化安全”的ActiveX控件�。攻擊者還可能利用受感染的網(wǎng)站�����,接受或托管用戶(hù)提供的內(nèi)容或廣告�。這些網(wǎng)站可能包含可以利用此漏洞的特制內(nèi)容。
該漏洞利用可以通過(guò)任何可承載HTML的應(yīng)用程序(例如文檔或PDF)來(lái)觸發(fā)�,并且在Windows 7、8.1和10上具有“嚴(yán)重”等級(jí)�����,并且目前正被黑客廣泛使用�����。 Microsoft將發(fā)布針對(duì)所有這些操作系統(tǒng)以及Windows Server 2008����、2012和2019的補(bǔ)丁程序�。
|
