微软近日发布了一个有关Internet Explorer(IE)漏洞的安全公告,该漏洞目前正被利用,即所谓的零日漏洞。
该公司的安全公告(ADV200001)当前仅包括可应用的变通办法和缓解措施,以保护易受攻击的系统免受攻击。
在撰写本文时,此问题没有补丁。微软表示正在开发修复程序,该修复程序将在以后发布。
尽管微软表示知道IE零日漏洞是在被利用的,但该公司将这些零日漏洞描述为“有限的针对性攻击”,这表明零日漏洞并未得到广泛利用,而是它旨在针对少数用户。
这些有限的IE零日攻击被认为是较大型黑客活动的一部分,该活动还涉及针对Firefox用户的攻击。
已关联到上周的FIREFOX零日
上周,Mozilla修补了一个类似的零日漏洞,该漏洞被利用来攻击Firefox用户。Mozilla将奇虎360归功于发现和报告Firefox零日的功劳。
这家中国网络安全公司在一条现已删除的推文中说,攻击者还利用了Internet Explorer的零日漏洞。这似乎是Qihoo 360研究人员当时提到的零日活动。
没有共享有关攻击者或攻击性质的信息。Qihoo 360没有返回评论请求以寻求有关攻击的信息。
IE中的RCE
在技术层面,Microsoft将IE零日漏洞描述为远程代码执行(RCE)漏洞,该漏洞是由IE脚本引擎(处理JavaScript代码的浏览器组件)中的内存损坏错误引起的。
以下是Microsoft对该零时差的技术说明:
脚本引擎处理Internet Explorer中内存中的对象的方式中存在一个远程执行代码漏洞。该漏洞可能会损坏内存,使得攻击者可以在当前用户的上下文中执行任意代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。
在基于Web的攻击情形中,攻击者可能拥有一个旨在通过Internet Explorer利用此漏洞的特制网站,然后诱使用户查看该网站(例如,通过发送电子邮件)。
微软表示,所有受支持的Windows桌面和Server OS版本都会受到影响。
此IE RCE零时区目前未分配CVE标识符。
微软在2019年9月和2019年11月修补了两个类似的IE零日漏洞。尽管IE不再是最新Windows OS版本中的默认浏览器,但该浏览器仍随OS一起安装。使用较旧Windows版本的用户受到的威胁最大。
*编译:Domino
*来自:ZDNET