微软Windows 7和Internet Explorer浏览器已经在1月15日结束技术支持,但是由于停止支持后仍然暴露了几个Bug,导致微软还无法停止修补这款不支持的操作系统。
被积极利用的Javascript引擎Bug导致微软在IE9之前一直为旧浏览器发布新补丁。
CVE-2020-0674条目说明:
脚本引擎在处理Internet Explorer内存对象方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者方式在当前用户的上下文中执行任意代码来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序、查看、更改或删除数据;或创建具有完全用户权限的新帐户。
在基于Web的攻击情形中,攻击者可能拥有旨在通过Internet Explorer利用此漏洞的特制网站,然后诱使用户查看该网站。攻击者还可能在承载IE呈现引擎的应用程序或Microsoft Office文档中嵌入标记为“初始化安全”的ActiveX控件。攻击者还可能利用受感染的网站以及接受或托管用户提供的内容或广告网站。这些网站可能包含可以利用此漏洞的特制内容。
该安全更新通过修改脚本引擎处理内存中对象的方式来解决漏洞。
win10之家了解到,该漏洞利用可以通过任何可承载HTML的应用程序(例如文档或PDF)来触发,并且在Windows 7、Windows 8.1和Windows 10上具有“严重”等级,并且目前正在被广泛使用。微软将发布针对所有这些操作系统以及Windows Server 2008、2012和2019的补丁程序。