|
Windows 7和IE瀏覽器都已經(jīng)于上月停止支持�,但由于最新曝光的嚴重IE漏洞微軟決定再次為Windows 7系統(tǒng)提供安全補丁。在發(fā)現(xiàn)了一個被黑客廣泛使用的JavaScript引擎漏洞之后��,微軟決定為所有IE 9之前的舊版瀏覽器提供安全更新��。 
CVE-2020-0674公告中寫道: 這個遠程代碼執(zhí)行漏洞存在于IE瀏覽器處理腳本引擎對象的內(nèi)存中����。該漏洞可能以一種攻擊者可以在當前用戶的上下文中執(zhí)行任意代碼的方式來破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當前用戶相同的用戶權限����。 如果當前用戶使用管理用戶權限登錄��,則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)�。然后��,攻擊者可能會安裝程序���。查看��,更改或刪除數(shù)據(jù)�����;或創(chuàng)建具有完全用戶權限的新帳戶����。 在網(wǎng)絡攻擊情境中��,攻擊者可能會制作專門利用該IE漏洞的特制網(wǎng)站����,然后誘使用戶查看該網(wǎng)站���。攻擊者能夠訪問托管在IE渲染引擎上的應用或者微軟Office辦公文檔中嵌入標記為“初始化安全”的ActiveX控件���。攻擊者還可能利用受感染的網(wǎng)站��,接受或托管用戶提供的內(nèi)容或廣告��。這些網(wǎng)站可能包含可以利用此漏洞的特制內(nèi)容��。
該漏洞利用可以通過任何可承載HTML的應用程序(例如文檔或PDF)來觸發(fā)��,并且在Windows 7�����、8.1和10上具有“嚴重”等級�,并且目前正被黑客廣泛使用����。 Microsoft將發(fā)布針對所有這些操作系統(tǒng)以及Windows Server 2008、2012和2019的補丁程序���。
|
