聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

微软刚刚发布安全公告(ADV200001)称，一个 IE 0day (CVE-2020-0674) 已遭利用，而且暂无补丁，仅有应变措施和缓解措施。

截止本文发稿前，目前该漏洞并不存在补丁。微软表示正在推出解决方案，将在后续发布。

虽然微软表示该 IE 0day 已遭在野利用，但指出这些利用只发生在“有限的目标攻击中”，认为该0day 并未遭大规模利用，而只是针对少量用户攻击的一部分。

这些有限的 IE 0day 攻击被指是更大规模的黑客活动的一部分，其中牵涉了针对火狐用户的攻击。

IE RCE 漏洞

在技术层面，微软将该 IE 0day 漏洞描述为远程代码执行漏洞 (RCE)，是由负责处理 JavaScript代码的浏览器组件 IE 脚本引擎中的内存损坏漏洞引发的。

微软对该 0day 的描述为，“脚本引擎处理 IE 内存对象的方式中存在一个远程代码执行漏洞。该漏洞可损坏内存，导致攻击者以当前用户的上下文执行任意代码。成功利用该漏洞的攻击者可获得和当前用户同样的用户权限。如果当前用户以管理员用户权限登录，则成功利用该漏洞的攻击者能够控制受影响系统。之后攻击者能够安装程序；查看、更改或删除数据；或者以完整的用户权限创建新账户。

在基于 web 的攻击场景中，攻击者能够托管特别构造的可通过 IE 浏览器利用该漏洞的网站，之后说服用户查看该网站，比如通过发送邮件的方式查看网站。”

缓解措施

在默认情况下，Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019 以“增强的安全配置”受限制模式运行。“增强的安全配置”模式是IE的一组预配置设置，可降低用户或管理员下载并在服务器上运行特殊构造的 web 内容的可能性。它是针对尚未被加入“IE可信”站点区域的网站的一个缓解因素。

应变措施

限制对 JScript.dll 的访问权限

对于32位系统，在管理员命令提示符中输入如下命令：

对于64位系统，在管理员命令提示符中输入如下命令：

应变措施的影响

微软表示，应用该应变措施可能导致依赖 javascript.dl 的组件或特征功能减少。微软推荐尽快安装更新实现完全防护。在安装更新前需要还原缓解步骤以返回到完整状态。

在默认情况下，IE11、IE10和 IE9 用户使用的是未受该漏洞影响的 Jscript9.dll。该漏洞仅影响使用 Jscript 脚本引擎的某些网站。

撤销应变措施

微软还给出了撤销应变措施的步骤：

对于32位系统，在管理员命令提示符中输入如下命令：

对于64位系统，在管理员命令提示符中输入如下命令：

微软表示所有受支持的 Windows 桌面和 Server OS 版本均受影响。

微软曾于2019年9月和11月修复两个类似的 IE 0day。仅IE 浏览器不再是最新 Windows OS版本的默认浏览器，但它仍然安装在操作系统中。使用老旧 Windows 版本的用户面临的风险最高。

推荐阅读

两年了火狐仍未修复某 0day，不料又一个新0day出现仨月了

奇安信代码卫士帮助微软修复Windows 内核漏洞，获官方致谢和奖金

高危 0day! 微软拒绝修复，研究员公开 IE 浏览器 0day 详情和 PoC

原文链接

https://www.zdnet.com/article/microsoft-warns-about-internet-explorer-zero-day-but-no-patch-yet/

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001

题图：Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

点个“在看”，bounty 不停~