
微軟所開發動態script語言Jscript,為Internet Explorer內含之腳本碼引擎,據Google威脅分析師Clement Lecigne指出,因Jscript9.dll處理記憶體內物件的方式存在瑕疵,易遭觸發memory corruption並衍生RCE攻擊,駭客可經由魚叉式釣魚誘騙受害者瀏覽惡意網站,或者寄送各種可嵌入Jscript之特製文件,如HTML、Office檔案、PDF,成功探勘即可執行任何程式,危害程度與受害者權限成正比,然漏洞發生條件端賴各版IE與OS搭配組合,如IE 9配Server 2008、IE 10配Server 2012,而IE 11受攻擊面最廣,在Windows7、8.1、10與Server 2008、2012、2019、2019皆無從倖免,由於刻正發生在野攻擊,12月19日微軟緊急公告非常態更新,若作業環境不宜(不敢)立即安裝,建議嘗試官方cacls指令教學,先行限制JScript.dll存取,降低IE慣用者風險,最好是換瀏覽器,完全杜絕此項0-day漏洞。
影響產品:
- Internet Explorer 9
- Internet Explorer 10
- Internet Explorer 10
解決辦法:
- 執行命令列cacls指令,停用dll。
- 參考https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653,就所屬環境下載更新。
資料來源:
- https://www.zdnet.com/article/microsoft-releases-security-update-for-new-ie-zero-day/
- https://www.tenable.com/blog/microsoft-releases-out-of-band-patch-for-internet-explorer-remote-code-execution-vulnerability
- https://kb.cert.org/vuls/id/573168/
- https://www.bleepingcomputer.com/news/security/microsoft-releases-out-of-band-security-update-for-internet-explorer-rce-zero-day/
- https://krebsonsecurity.com/2018/12/microsoft-issues-emergency-fix-for-ie-zero-day/#more-46087
- https://en.wikipedia.org/wiki/JScript
- https://zh.wikipedia.org/wiki/JScript
- https://portal.msrc.microsoft.com/zh-tw/security-guidance/advisory/CVE-2018-8653
- https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653