因嚴重IE漏洞微軟再為已停止支持的Windows 7發布安全更新
Windows 7和IE瀏覽器都已經於上月停止支持,但由於最新曝光的嚴重IE漏洞微軟決定再次為Windows 7系統提供安全補丁。在發現了一個被黑客廣泛使用的JavaScript引擎漏洞之後,微軟決定為所有IE 9之前的舊版瀏覽器提供安全更新。
CVE-2020-0674公告中寫道:
這個遠程代碼執行漏洞存在於IE瀏覽器處理腳本引擎對象的內存中。該漏洞可能以一種攻擊者可以在當前用戶的上下文中執行任意代碼的方式來破壞內存。成功利用此漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。
如果當前用戶使用管理用戶權限登錄,則成功利用此漏洞的攻擊者可以控制受影響的系統。然後,攻擊者可能會安裝程序。查看,更改或刪除數據;或創建具有完全用戶權限的新帳戶。
在網絡攻擊情境中,攻擊者可能會製作專門利用該IE漏洞的特製網站,然後誘使用戶查看該網站。攻擊者能夠訪問託管在IE渲染引擎上的應用或者微軟Office辦公文檔中嵌入標記為“初始化安全”的ActiveX控件。攻擊者還可能利用受感染的網站,接受或託管用戶提供的內容或廣告。這些網站可能包含可以利用此漏洞的特製內容。
該漏洞利用可以通過任何可承載HTML的應用程序(例如文檔或PDF)來觸發,並且在Windows 7、8.1和10上具有“嚴重”等級,並且目前正被黑客廣泛使用。Microsoft將發布針對所有這些操作系統以及Windows Server 2008、2012和2019的補丁程序。