微软对ie浏览器发布警告 但目前还没有补丁
微软今天发布了一份关于InternetExplorer(IE)漏洞的安全建议,该漏洞目前正在野外被利用,这是一个所谓的零天。
该公司的安全咨询(ADV200001)目前只包括可用于保护脆弱系统免受攻击的解决方案和缓解措施。
在编写本报告时,这一问题没有补丁。微软表示,它正在研究一个修复方案,将于稍后发布。
虽然微软表示意识到IE零日在野外被利用,但该公司将这些描述为“有限的定向攻击”,这表明零日并未被广泛利用,而是针对少数用户的攻击的一部分。
这些有限的IE零日攻击据信是更大规模黑客活动的一部分,这也涉及对Fire fox用户的攻击。
上周,Mozilla补充了一个类似的零日,被用来攻击Fire fox用户。Mozilla认为奇虎360发现并报道了火狐的零日功能。
这家中国网络安全公司在一条现在被删除的推文中说,攻击者也在利用一个InternetExplorer零天。这似乎是奇虎360研究人员当时提到的零天。
没有分享关于袭击者或袭击性质的信息。奇虎360没有回复置评请求,以寻求有关袭击的信息。
在技术层面上,微软将这一IE零天描述为一个远程代码执行(RCE)缺陷,这是由IE的脚本引擎(处理JavaScript代码的浏览器组件)中的内存损坏错误引起的。
下面是微软对本次零点的技术描述:
远程代码执行漏洞以脚本引擎处理InternetExplorer中内存中的对象的方式存在。漏洞会破坏内存,使攻击者可以在当前用户的上下文中执行任意代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果使用管理用户权限登录当前用户,成功利用该漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完整用户权限的新帐户。
在基于网络的攻击场景中,攻击者可以托管一个专门制作的网站,该网站旨在通过InternetExplorer利用该漏洞,然后说服用户查看该网站,例如发送电子邮件。
微软表示,所有支持的Windows桌面和服务器操作系统版本都受到影响。