IE記憶體毁損漏洞傳有攻擊發生,迫使微軟對Windows 7發出例外修補

微軟Internet Explorer(IE)瀏覽器一項記憶體毁損漏洞,可能引發遠端程式碼執行,並已傳出有攻擊碼流傳,促使微軟對Windows發出修補程式,包括已不支援的Windows 7及Windows Server 2008。

編號CVE-2020-0674的漏洞,存在於IE JavaScript腳本引擎(scripting engine)記憶體處理物件的過程中。攻擊者可以誘使用戶連上有惡意內容的網站或點選App觸發,造成電腦記憶體毁損,藉此取得用戶相同權限。如果用戶具備管理員權限,則攻擊者就可以接管該電腦,進而安裝程式、執行任意程式碼,或是修改、變更及刪除資料,及新增用戶帳號。

微軟解釋,Web攻擊中,攻擊者手法包括設立包含惡意內容的網站、駭入合法網站或是接受用戶上傳內容或廣告的網站,再傳送連結誘使IE用戶連上。而支援嵌入式IE或腳本引擎元件的App,也可能被用作攻擊途徑。觸發方式則是在帶有惡意HTML的App(如PDF)或Office文件中,嵌入ActiveX控制,佯稱「安全可啟動(safe for initialization)」,來誘使用戶開啟文件。

本漏洞影響眾多版本,包括Windows Server 2012、Server 2012、Windows 10 1607、1709、1803、1809、1903、1909、Windows 8.1、RT的IE 11。上述平台的IE11中的CVE-2020-0674漏洞,CVSS 3.0風險評分為7。

根據SCMagazine報導,微軟已偵測到攻擊程式碼在網路上流傳。微軟並已發布修補程式解決受影響版本,包括已終止支援Windows 7上的IE 11以及Server 2008上的IE 9。

原文來自 iThome Online