微软IE浏览器零日漏洞被黑客利用 暂时只有缓解方案无法彻底修复

1月19日消息  微软公司安全响应中心发布最新安全公告称 : IE浏览器中存在的某个零日漏洞已经在野外被发现遭到黑客的利用。当浏览器脚本引擎处理某些内存中的对象时会存在此问题，攻击者接着该漏洞可以远程执行任意代码危害性较高。现阶段微软虽然已经知晓此漏洞的存在但还在制定解决方案，因此现在所有用户都无法直接通过更新修复该漏洞。值得注意的是似乎此漏洞与此前火狐浏览器漏洞存在关联，早些时候Qihoo 360报告火狐浏览器存在某零日漏洞。

攻击者或同时使用火狐和IE漏洞：

Qihoo 360在早些时候报告火狐浏览器存在临时漏洞时提到微软浏览器的漏洞，但是该安全团队很快将推文删除。

已被删除的推文显示有攻击者已经在野外利用火狐浏览器的漏洞，但相同的攻击者也似乎利用微软组件中的漏洞。

火狐浏览器当时已经迅速发布紧急安全更新将漏洞修复，而Qihoo 360删除推文可能就是不愿意披露微软的漏洞。

毕竟按行业通行规则在漏洞未修复前业者不该披露漏洞，当然如果没有披露漏洞的细节只是简单提下倒是没问题。

不过从最新更新的动态消息来看该漏洞是由Qihoo 360团队的Ella Yu发现的 , 这与此前被删推文的信息是吻合的。

具有较高危害性的IE浏览器零日漏洞：

按微软说明此漏洞主要位于浏览器的脚本引擎组件中，该组件在执行某些特定内容时可能会出现内存损坏等错误。

而攻击者则可以远程触发此漏洞并破坏内存从而获得与当前用户相同的权限，若用户为管理员则可获得管理权限。

如果获得管理员级别的权限则攻击者可以进行任意修改、查看或删除用户数据，甚至是完全控制用户的计算机等。

在网络攻击层面黑客主要可以制作钓鱼网站或邮件诱导用户查看 , 当使用IE浏览器加载此特制网站就会触发漏洞。

微软表示所有受支持的windows和windows Server均受影响，不过windows 7/Server 2008 R2同样受到影响。

暂时只有缓解方案无法彻底修复：

微软当前还在研究漏洞并制定潜在的解决方案 , 因此与之对应的安全更新稳定版可能还需要等到2月11日才发布。

带有测试性质的安全更新可能会随累积更新在本月下旬发布，企业和追求稳定性的用户暂时不应该安装测试更新。

因此保守的方案就是使用微软提供的缓解措施来限制对 JScript.dll 组件的访问 , 这样有助于防范潜在的网络攻击。

当然限制调用后可能会影响某些使用 JScript 编程语言的网站(不是JavaScript) , 但基于安全考虑暂时也只能这样。

微软提供的缓解方案如下：

#适用于64位windows 7-10所有版本、在命令提示符中依次执行如下命令：

takeown /f %windir%syswow64jscript.dll

cacls %windir%syswow64jscript.dll /E /P everyone:N

takeown /f %windir%system32jscript.dll

cacls %windir%system32jscript.dll /E /P everyone:N

#适用于32位windows 7-10所有版本、在命令提示符中依次执行如下命令：

takeown /f %windir%system32jscript.dll

cacls %windir%system32jscript.dll /E /P everyone:N