写点什么

微软发布 IE 补丁,修补脚本引擎漏洞

  • 2018-12-25
  • 本文字数:756 字

    阅读完需:约 2 分钟

微软发布IE补丁,修补脚本引擎漏洞

微软已经针对 Internet Explorer(IE)脚本引擎中的一个关键漏洞发布了带外更新,该漏洞可能导致远程代码执行。Tenable 研究工程师 Satnam Narang 表示,这个漏洞正在被大肆利用,用户应该尽快更新他们的系统。


Narang 说,这个漏洞影响了多个 IE 版本,包括自 2012 年以来的所有 Windows 和 Windows Server 版本(Windows 7、8 和 10 以及 Windows Server 2012、2016 和 2019)上的 Internet Explorer 11、Windows Server 2008 上的 Internet Explorer 9 和 Windows Server 2012 上的 Internet Explorer 10。


微软表示,该漏洞正被利用,用于“针对性攻击”,也即可能是通过发送电子邮件或其他等效方式访问伪造的网站:


如果当前用户使用管理用户权限登录,那么成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序,查看、更改或删除数据,或者创建具有完全用户权限的新帐户。


微软没有公开这个漏洞背后的细节,只是稍微澄清漏洞是由 Internet Explorer JScript 脚本引擎处理内存对象的方式引起的。对于那些希望在安装微软补丁之前为系统提供保护的人,可以使用一种解决方法,即禁用对 jscript.dll 的访问。实际上,jscript.dll 实现了旧版本的 jscript 脚本引擎,该引擎仍然存在,但出于兼容性原因,已被 jscript9.dll 取代,Internet Explorer 9、10、11 中默认启用的是 jscript9.dll。禁用 jscript.dll 只会影响那些特定要求使用它的网站。


要在 32 位系统上禁用 jscript.dll,可以以管理员身份运行以下命令:


cacls %windir%\system32\jscript.dll /E /P everyone:N
复制代码


对于 64 位系统,可以运行:


cacls %windir%\syswow64\jscript.dll /E /P everyone:N
复制代码


如果要给系统打补丁,用户需要启用 Windows Update,并应用最新的安全更新。


查看英文原文:


https://www.infoq.com/news/2018/12/microsoft-patches-ie-zero-day


2018-12-25 00:001312
用户头像

发布了 731 篇内容, 共 474.9 次阅读, 收获喜欢 2008 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

Kubernetes网络模型

CTO技术共享

开源 Kubernetes 集群 签约计划第三季 8月月更

如何克服紧张

踏雪痕

Kubernetes故障排查eBPF

CTO技术共享

开源 ebpf 签约计划第三季 8月月更

Go-Excelize API源码阅读(一)——NewFile()

Regan Yue

Go 开源 源码刨析 8月月更

钝感力与自我和解

Amazing_eve

#开源

Kubernetes信息安全

CTO技术共享

开源 信息安全 Kubernetes 集群 签约计划第三季 8月月更

SRE运维解密-服务质量目标:SLI,SLO,SLA

董哥的黑板报

微服务 运维 云原生 SRE Google

Kubernetes构建Redis 集群

CTO技术共享

redis 开源 签约计划第三季 8月月更

Kubernetes 调度器优化

CTO技术共享

开源 Kubernetes 集群 签约计划第三季

系统管理-Linux重定向与管道

Albert Edison

Linux centos 运维 服务器 8月月更

Python 教程之输入输出(5)—— input() 函数中的漏洞 – Python 2.x

海拥(haiyong.site)

Python 8月月更

Android 应用安全机制实现方案探究

No Silver Bullet

android 签约计划第三季 8月月更 安全机制

数据库日增20万条数据,用读写分离和分库分表加持破它

知识浅谈

8月月更

文本词频统计的利器 Trie树

Five

c 算法题 8月月更

Kubernetes Cilium展示

CTO技术共享

开源 cilium Kubernetes 集群 签约计划第三季

SAP API 开发方法大全

汪子熙

API SAP abap 全栈开发 8月月更

Service Mesh迁移原则

阿泽🧸

Service Mesh 8月月更

Kubernetes证书过期怎么玩

CTO技术共享

开源 签约计划第三季 8月月更

一起学习集合框架之 TreeSet

宇宙之一粟

Java 8月月更

【ELT.ZIP】OpenHarmony啃论文俱乐部——学术科研方法论沉淀辑

ELT.ZIP

方法论 OpenHarmony ELT.ZIP 啃论文

Kubernetes 实现灰度和蓝绿发布

CTO技术共享

开源 灰度发布 蓝绿发布 签约计划第三季 8月月更

Kubernetes内存泄露怎么玩

CTO技术共享

开源 内存泄漏 签约计划第三季 8月月更

Angular 为什么要引入 injection token 的概念

汪子熙

前端开发 angular web开发 依赖注入 8月月更

SRv6网络典型部署场景

穿过生命散发芬芳

8月月更 SRv6

关于 SAP UI5 floating footer 显示与否的单步调试以及使用 SAP UI5 的收益

汪子熙

前端开发 SAP SAP UI5 ui5 8月月更

C++ 中的四种智能指针

桑榆

c++ 8月月更

开源一夏 | jQuery 密码验证和深入理解JSONP【前端jQuery框架】

恒山其若陋兮

开源 8月月更

电动汽车充电站的部署优化策略

乌龟哥哥

8月月更

关于在谷歌浏览器,vue-video-player 实现断点续播,currentTime不生效问题。

泉城老铁

头脑风暴:零钱兑换

HelloWorld杰少

8月月更

gulp 的常用 API

Jason199

js gulp 8月月更

微软发布IE补丁,修补脚本引擎漏洞_安全_Sergio De Simone_InfoQ精选文章