周一，微軟向用戶警告廣受歡迎的Internet Explorer存在一個(gè)高危的漏洞（CVE-2019-1367），受害者只需查看利用此漏洞的特制網(wǎng)頁(yè)，即可遠(yuǎn)程執(zhí)行代碼，成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。攻擊者利用此漏洞可以接管你的計(jì)算機(jī)，進(jìn)而在你的電腦安裝和卸載程序，查看、更改或刪除數(shù)據(jù)，甚至創(chuàng)建具有完全用戶權(quán)限的新帳戶。

漏洞描述

9月23日微軟緊急發(fā)布安全更新，修復(fù)了一個(gè)影響IE瀏覽器的遠(yuǎn)程代碼執(zhí)行漏洞CVE-2019-1367。攻擊者可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼，造成內(nèi)存損壞。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理用戶權(quán)限登錄，則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。攻擊者可能會(huì)安裝程序，查看、更改或刪除數(shù)據(jù)或創(chuàng)建具有完全用戶權(quán)限的新帳戶。

根據(jù)微軟發(fā)布的安全公告，引發(fā)此漏洞的根本原因是腳本引擎(Scripting Engine)在內(nèi)存中處理對(duì)象的方式。具體來(lái)說(shuō)就是，Internet Explorer中的腳本引擎在內(nèi)存中處理對(duì)象時(shí)存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞以這種方式來(lái)破壞內(nèi)存，然后攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼。

利用場(chǎng)景

在基于Web的攻擊情形中，攻擊者可以通過(guò)制作利用此漏洞的特制網(wǎng)站，然后誘使用戶通過(guò)IE瀏覽器查看該網(wǎng)站（例如，通過(guò)發(fā)送釣魚(yú)電子郵件），即可導(dǎo)致用戶中招。攻擊者還可以利用廣泛存在的互聯(lián)網(wǎng)軟件內(nèi)嵌廣告頁(yè)面進(jìn)行掛馬攻擊。攻擊者可能擁有一個(gè)旨在通過(guò)Internet Explorer利用此漏洞的特制網(wǎng)站，然后誘使用戶查看該網(wǎng)站。

目前該漏洞已發(fā)現(xiàn)在野利用，微軟官方更新通過(guò)修改腳本引擎處理內(nèi)存中對(duì)象的方式發(fā)布緊急更新解決此漏洞。

漏洞等級(jí)：

高危 修復(fù)建議

目前廠商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞，補(bǔ)丁獲取鏈接：

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1367

或通過(guò)WindowsUpdate安裝操作系統(tǒng)補(bǔ)丁，詳情如下：

1903: KB4522016 (build 18362.357)

1809: KB4522015 (build 17763.740)

1803: KB4522014 (build 17134.1009)

1709: KB4522012 (build 16299.1392)

1703: KB4522011 (build 15063.2046)

1607: KB4522010 (build 14393.3206)

1507: KB4522009 (build 10240.18334)

操作步驟：設(shè)置→更新和安全→WindowsUpdate→檢查安裝計(jì)算機(jī)上的更新

參考鏈接：

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201909-1071

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

雖然微軟已發(fā)布安全更新，并通過(guò)修改腳本引擎處理內(nèi)存中對(duì)象的方式來(lái)解決此漏洞。但微軟再次提醒用戶放棄這款已被淘汰的瀏覽器。今年2月，微軟的安全研究人員就已敦促用戶停止使用IE作為默認(rèn)瀏覽器。后來(lái)在四月份的時(shí)候，我們得知，即使僅在計(jì)算機(jī)上安裝Internet Explorer甚至不使用它都存在安全風(fēng)險(xiǎn)。

IE瀏覽器存在遠(yuǎn)程代碼執(zhí)行漏洞的相關(guān)介紹，希望大家喜歡，請(qǐng)繼續(xù)關(guān)注腳本之家。

相關(guān)推薦：

ie瀏覽器護(hù)眼保護(hù)色怎么關(guān)閉?

IE瀏覽器怎么刪除通過(guò)Edge打開(kāi)新標(biāo)簽頁(yè)的按鈕?

ie瀏覽器怎么禁止縮放? 禁止ie瀏覽器縮放頁(yè)面的教程

最新評(píng)論