微软Internet Explorer(IE)浏览器一项内存毁损漏洞,可能引发远程程序代码执行,并已传出有攻击码流传,促使微软对Windows发出修补程序,包括已不支持的Windows 7及Windows Server 2008。
编号CVE-2020-0674的漏洞,存在于IE JavaScript脚本引擎(scripting engine)内存处理对象的过程中。攻击者可以诱使用户连上有恶意内容的网站或点击App触发,造成计算机内存毁损,借此取得用户相同权限。如果用户具备管理员权限,则攻击者就可以接管该计算机,进而安装程序、执行任意程序代码,或是修改、变更及删除数据,及添加用户账号。
微软解释,Web攻击中,攻击者手法包括设立包含恶意内容的网站、黑入合法网站或是接受用户上传内容或广告的网站,再发送连接诱使IE用户连上。而支持嵌入式IE或脚本引擎组件的App,也可能被用作攻击途径。触发方式则是在带有恶意HTML的App(如PDF)或Office文件中,嵌入ActiveX控制,佯称“安全可启动(safe for initialization)”,来诱使用户打开文件。
本漏洞影响众多版本,包括Windows Server 2012、Server 2012、Windows 10 1607、1709、1803、1809、1903、1909、Windows 8.1、RT的IE 11。上述平台的IE11中的CVE-2020-0674漏洞,CVSS 3.0风险评分为7。
根据SCMagazine报道,微软已侦测到攻击程序代码在网络上流传。微软并已发布修补程序解决受影响版本,包括已终止支持Windows 7上的IE 11以及Server 2008上的IE 9。