微軟發布IE補丁,修補指令碼引擎漏洞

2021-09-17 18:29:01 字數 1051 閱讀 2516

微軟已經針對internet explorer(ie)指令碼引擎中的乙個關鍵漏洞發布了帶外更新,該漏洞可能導致遠端**執行。tenable研究工程師satnam narang表示,這個漏洞正在被大肆利用,使用者應該盡快更新他們的系統。

narang說,這個漏洞影響了多個ie版本,包括自2023年以來的所有windows和windows server版本(windows 7、8和10以及windows server 2012、2016和2019)上的internet explorer 11、windows server 2008上的internet explorer 9和windows server 2012上的internet explorer 10。

微軟表示,該漏洞正被利用,用於「針對性攻擊」,也即可能是通過傳送電子郵件或其他等效方式訪問偽造的**:

如果當前使用者使用管理使用者許可權登入,那麼成功利用此漏洞的攻擊者可以控制受影響的系統。然後攻擊者可以安裝程式,檢視、更改或刪除資料,或者建立具有完全使用者許可權的新帳戶。

微軟沒有公開這個漏洞背後的細節,只是稍微澄清漏洞是由internet explorer jscript指令碼引擎處理記憶體物件的方式引起的。對於那些希望在安裝微軟補丁之前為系統提供保護的人,可以使用一種解決方法,即禁用對jscript.dll的訪問。實際上,jscript.dll實現了舊版本的jscript指令碼引擎,該引擎仍然存在,但出於相容性原因,已被jscript9.dll取代,internet explorer 9、10、11中預設啟用的是jscript9.dll。禁用jscript.dll只會影響那些特定要求使用它的**。

要在32位系統上禁用jscript.dll,可以以管理員身份執行以下命令:

cacls %windir%\\system32\\jscript.dll /e /p everyone:n
對於64位系統,可以執行:

cacls %windir%\\syswow64\\jscript.dll /e /p everyone:n
如果要給系統打補丁,使用者需要啟用windows update,並應用最新的安全更新。

檢視英文原文:

微軟 IE 緊急補丁即將發布

本文轉譯自microsoft security response center 部落格文章 security advisory 979352 going out of band 我們要告訴大家 ie 零日漏洞威脅形勢的最新情況,同時宣布 微軟即將發布乙個緊急安全補丁來幫助使用者修正此漏洞。通過對威脅...

微軟 IE 緊急補丁即將發布

本文轉譯自microsoft security response center 部落格文章 security advisory 979352 going out of band 我們要告訴大家 ie 零日漏洞威脅形勢的最新情況,同時宣布 微軟即將發布乙個緊急安全補丁來幫助使用者修正此漏洞。通過對威脅...

微軟發布IE累積更新補丁 IE8使用者應使用臨時補丁

據國外 報道,微軟已經正式發布臨時ie安全補丁。簡而言之,ie使用者可以在4月13日補丁發布日之前通過windows update和microsoft update使用到該補丁。無論你是何種系統平台的ie8使用者 包括windows 7平台 你都應該按照微軟ms10 018安全公告進行更新。微軟安全...