微軟發(fā)布帶外安全更新以修復影響IE瀏覽器的關鍵零日漏洞

為修復IE瀏覽器中的關鍵零日漏洞，微軟發(fā)布帶外安全更新。

微軟發(fā)布帶外安全更新以修復影響IE瀏覽器的關鍵零日漏洞。

據(jù)該科技巨頭稱，攻擊者在公網(wǎng)上利用了編號為CVE-2018-8653的漏洞。

該零日漏洞是由谷歌研究員克萊門特·萊西涅（ClementLecigne）發(fā)現(xiàn)的，這是一個存在于IE瀏覽器腳本引擎的遠程代碼執(zhí)行漏洞。

該不確定內存損壞漏洞影響了處理腳本語言的微軟IE瀏覽器腳本引擎JScript組件。

據(jù)安全公告稱，“在腳本引擎處理位于IE瀏覽器內存中的對象路徑中，存在遠程代碼執(zhí)行漏洞。該漏洞可損壞內存，而攻擊者可借此在當前用戶的上下文中執(zhí)行任意代碼?！?/p>

“成功利用該漏洞的攻擊者可獲得與當前用戶相同的權限。若當前用戶是以管理員身份登錄的，成功利用該漏洞的黑客將可控制受影響系統(tǒng)。黑客便可趁機安裝程序；查看、更改或刪除數(shù)據(jù)；或者完全利用用戶的權限創(chuàng)建新賬戶。”

專家還描述了一種基于網(wǎng)頁的攻擊設想，攻擊者托管了一個網(wǎng)站，該網(wǎng)站是為觸發(fā)IE瀏覽器漏洞并誘使受害者瀏覽網(wǎng)站而專門設計的。

遠程攻擊者還可引誘受害者瀏覽專門制作的HTML文檔、Office文檔、PDF文件或者任何支持嵌入式IE腳本引擎內容的其他文檔。

黑客還可利用該漏洞在當前用戶的上下文中執(zhí)行任意代碼。