Internet Explorer零时差仍未修复

2020-01-25 08:21:28 2 899

可要实现变通方法,或者完全停止使用浏览器,至少在微软发布补丁之前是这样


Microsoft已发布了一条安全公告,警告用户其Internet Explorer(IE)Web浏览器中的一个尚未修补的漏洞,该漏洞已被用于有针对性的有限攻击。

zero-day被跟踪为CVE-2020-0674,它是浏览器脚本引擎中的一个内存损坏问题。
它的利用可能使远程攻击者能够在受感染的系统上运行他们选择的代码。

远程代码执行(RCE)安全漏洞影响IE版本9、10和11运行在所有支持的Windows桌面和服务器版本,以及不再
支持的Windows 7。
攻击者可以利用这个漏洞,通过浏览器(通常是通过发送电子邮件)引诱您访问恶意网站。它可能最终使骗子能够安装程序,篡改数据或建立新的帐户与完整的用户权限对受影响的系统。

大多数听起来比较熟悉,是有充分的理由的。 分别在最近的2019年9月和2019年11月,该公司在浏览器中披露了另外两个零日。

不过一个重要的区别:无论如何,这一次暂时没有可用的补丁。相反,这个补丁要到2月11日(周二)才会发布。

“ Microsoft知道漏洞,并正在进行修复, 标准政策是在每月的第二个星期二的更新星期二发布安全更新。”

据认为该漏洞可能与另一个最近公开的零日漏洞有关-这次是在Firefox浏览器中, Mozilla在本月初发布了针对后一个漏洞的补丁。

可以通过限制对JavaScript组件JScript.dll的访问来缓解新发现的漏洞。
Microsoft指出,在Windows Server上,利用Internet Explorer的风险较低,默认情况下,Internet Explorer处于锁定状态,以防止基于浏览器的攻击。
Microsoft表示:这种限制模式称为增强安全配置,“可以减少用户或管理员在服务器上下载和运行特制Web内容的可能性”。

美国网络安全和基础设施安全局(CISA)发布了自己的公告,鼓励用户和管理员实施变通办法并切换到其他浏览器,直到有可用的补丁为止。

Microsoft网络安全负责人克里斯·杰克逊(Chris Jackson)在2019年曾表示,Internet Explorer是一种“兼容性解决方案”。 换句话说,为了与旧版Web应用程序兼容,它通常适用于依赖它的企业。 浏览器可能不是满足您日常Web浏览需求的最佳解决方案。

就在前几天,Microsoft发布了新的基于chrome的Edge浏览器。




文章翻译来自T00ls

关于作者

评论2次

要评论?请先  登录  或  注册