Microsoft 釋出 Internet Explorer 緊急安全補丁
原文標題:Microsoft Issues Internet Explorer an Emergency Patch
原文作者: Lucian Armasu
譯文出自:雲子可信官方論壇
永久連結:https://bbs.cloudtrust.com.cn/thread-410-1-1.html
譯者:雲子可信漢化組
微軟正在使用Google Chromium 渲染並重建其Internet Explorer 和Edge 瀏覽器引擎,但Google 工程師Clement Lecigne 發現了一個影響Internet Explorer 9,10和11版本的關鍵性漏洞。
近日,微軟釋出了針對Windows 7的緊急更新,8.1和10個版本,以及Windows Server 2008,2012,2016和2019。
Internet Explorer 漏洞
該漏洞名為 CVE-2018-8653,是由Internet Explorer 的指令碼引擎在處理記憶體物件時產生的。攻擊者利用此漏洞,可以獲取與當前使用者相同系統許可權的方式開展對系統記憶體的破壞,這種方式是通過執行惡意程式碼實現的。
預設情況下Windows 帳戶是管理員(而不是標準/限制),意味著在大多數情況下,攻擊者也會獲得管理許可權,可以實現安裝程式,竊取資訊,刪除資料等操作。攻擊者還有可能會專門設計一個網站,在該漏洞下,使用者了訪問該惡意網站,攻擊者便可以直接接管他的系統。
微軟表示,現已釋出Internet Explorer 緊急補丁,修改了指令碼引擎處理記憶體物件的方式,以防止發生此類攻擊。
微軟正在開發更安全的瀏覽器
最近,我們瞭解到微軟已經放棄了使用自己的EdgeHTML 渲染引擎與谷歌競爭,並將很快推出基於Chromium 的瀏覽器。
Chrome 已被大眾視為最安全的瀏覽器,而微軟推出的兩款瀏覽器都暴露出長久的安全問題。甚至Edge 也經常容易受到利用瀏覽器整合Internet Explorer 11 的渲染引擎以進行遺留支援的攻擊。
微軟本身有一個安全的程式碼庫,如果使用了Chromium,他們需要跟上Chromium 開源社群和谷歌的步伐,保持更新頻率。
我們經常可以看到其他在Chromium 之上構建的瀏覽器版本落後於Google Chrome 使用的最新版本。這意味著在這些瀏覽器中已知安全問題有極大可能會存在數月。攻擊者只需要密切關注谷歌在最新版Chrome 中修復的漏洞型別,緊接著他們就可以開始在微軟的新瀏覽器中利用這些漏洞了。
未來,微軟是否能夠找到一種方法妥善處理類似情況,讓我們拭目以待吧。
雲子可信,中小企業安全SaaS,企業 IT 本該如此簡單
終端電腦上網行為管控、軟體管理、遠端協助、U 盤管控等十二大功能 >>>點我瞭解更多