近日����,國家信息安全漏洞庫(CNNVD)收到關(guān)于微軟Internet Explorer瀏覽器遠程代碼執(zhí)行漏洞(CNNVD-202001-876 ����、CVE-2020-0674)情況的報送�。成功利用漏洞的攻擊者能夠損壞目標系統(tǒng)內(nèi)存,遠程執(zhí)行惡意代碼����。Internet Explorer 9、Internet Explorer 10和Internet Explorer 11等版本均受此漏洞影響����。目前,微軟官方暫未發(fā)布修復補丁����,但可以通過臨時解決措施緩解該漏洞帶來的危害,建議用戶及時確認是否受到漏洞影響��,盡快采取修補措施���。
一����、漏洞介紹
微軟Internet Explorer瀏覽器,簡稱IE�����,是微軟公司推出的一款網(wǎng)頁瀏覽器��。Internet Explorer瀏覽器腳本引擎在處理IE內(nèi)存對象的方式中存在一個遠程代碼執(zhí)行漏洞�。該漏洞可損壞內(nèi)存��,導致攻擊者可以遠程執(zhí)行任意代碼�����。該漏洞存在于Internet Explorer瀏覽器腳本引擎jscrypt32.dll文件中��,成功利用該漏洞的攻擊者可獲得和當前用戶相同的用戶權(quán)限�����,如果當前用戶以管理員權(quán)限登錄�,攻擊者便能夠控制受影響的系統(tǒng),進而安裝程序�����、更改或刪除數(shù)據(jù)、創(chuàng)建新賬戶等����。若要利用此漏洞,攻擊者可構(gòu)造一個惡意網(wǎng)站�,并誘使用戶查看該網(wǎng)站,以此觸發(fā)漏洞��。
二����、危害影響
成功利用漏洞的攻擊者能夠損壞目標系統(tǒng)內(nèi)存,遠程執(zhí)行惡意代碼�����。默認配置下���,Internet Explorer 9���、Internet Explorer 10和Internet Explorer 11等版本均受此漏洞影響。
三����、修復措施
目前��,微軟官方暫未發(fā)布修復補丁����,但可以通過臨時解決措施緩解該漏洞帶來的危害��。
1��、微軟官方的緩解措施為限制對JScript.dll文件的訪問權(quán)限��,禁用JScript.dll會導致依賴此文件的頁面無法正常工作����,目前的網(wǎng)站頁面內(nèi)容大部分都依賴于JScript.dll進行渲染���,禁用可能會導致大部分網(wǎng)站頁面無法正常顯示���,請用戶酌情考慮后再進行操作。
對于32位系統(tǒng)�����,在管理命令提示符處輸入以下命令:
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
對于64位系統(tǒng),在管理命令提示符處輸入以下命令:
takeown /f %windir%\syswow64\jscript.dll
cacls %windir%\syswow64\jscript.dll /E /P everyone:N
takeown /f %windir%\system32\jscript.dll
cacls %windir%\system32\jscript.dll /E /P everyone:N
微軟官方建議等待修復補丁更新后通過安裝補丁解決漏洞帶來的危害���,如果使用限制JScript.dll權(quán)限的方法緩解漏洞帶來的危害���,還需要在安裝補丁前,撤銷對JScript.dll權(quán)限的更改��,具體方法如下:
對于32位系統(tǒng)��,在管理命令提示符處輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
對于64位系統(tǒng)�����,在管理命令提示符處輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
2��、暫時使用Internet Explorer以外的瀏覽器��,等待微軟發(fā)布漏洞補丁�。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時發(fā)布相關(guān)信息�。如有需要,可與CNNVD聯(lián)系����。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
