才在上周二Patch Tuesday修补49个安全漏洞的微软,又在上周五(1/17)公布一安全通报(Security Advisory),指出IE浏览器含有一个内存毁损漏洞,将允许黑客自远程执行任意程序,而且坊间已出现针对该漏洞的目标式攻击。
该零时差漏洞的编号为CVE-2020-0674,存在于脚本引擎处理内存对象的方式,该漏洞可用来破坏内存,成功的开采将允许黑客取得用户权限,若用户以管理员权限登录,代表黑客也能掌控整个系统,任意安装程序、变更或删除数据,也能创建具备完整用户权限的新账号。
黑客得以创建一个专门开采该漏洞的网站,并以电子邮件或其它途径诱导IE用户访问,伺机入侵受害者系统。
该漏洞影响了Windows Server 2008上的IE 9、Windows Server 2012上的IE 10,Windows 7/8.1/10上的IE 11,以及Windows Server 2016/2019上的IE 11。
美国计算机紧急回应团队协调中心(CERT Coordination Center,CERT/CC)也针对该漏洞提出了警告,该中心提供了更详细的解释,指出IE含有一个专门用来处理VBScript或JScript等脚本程序的脚本引擎,其中的JScript组件含有一个内存毁损漏洞,任何支持嵌入式IE或其脚本引擎组件的应用程序,都可能被用来作为攻击媒介。
CERT/CC还描绘了更多的攻击场景,指出黑客只要诱导用户访问一个特定的HTML文件、PDF文件、微软Office文件,或是任何支持嵌入式IE脚本引擎内容的文件,就有机会开采该漏洞。
该漏洞在不同平台上有着不同的严重程度,由于Windows Sever平台上的IE都采用增强式安全性设置(Enhanced Security Configuration)作为默认值,代表它是在受限模式中执行,可减少用户下载或执行特定内容的机会,因此在这些平台上的漏洞严重性只有中度,但在7/8.1/10平台上则属于重大漏洞。微软建议IE用户可限制对JScript.dll的访问能力,以降低该漏洞所带来的威胁。
微软已着手修补该漏洞,并说标准程序是在下个月的第二个周二修补,并未承诺提前修补。此外,微软已于今年1月14日终止支持的Windows 7也受到该漏洞的波及,外界也关心微软是否会破例修补该平台上的CVE-2020-0674漏洞。