微軟緊急修補JSsript引擎，抑制IE 0-day在野攻擊

2019 / 01 / 17
作者： TWNIC

2019 / 01 / 17
Author : TWNIC

分類：待分類
Tags：國內外重要資安新聞

Categories : 待分類
Tags : 國內外重要資安新聞

圖片來源：https://krebsonsecurity.com/wp-content/uploads/2018/12/iexploder.jpg

微軟所開發動態script語言Jscript，為Internet Explorer內含之腳本碼引擎，據Google威脅分析師Clement Lecigne指出，因Jscript9.dll處理記憶體內物件的方式存在瑕疵，易遭觸發memory corruption並衍生RCE攻擊，駭客可經由魚叉式釣魚誘騙受害者瀏覽惡意網站，或者寄送各種可嵌入Jscript之特製文件，如HTML、Office檔案、PDF，成功探勘即可執行任何程式，危害程度與受害者權限成正比，然漏洞發生條件端賴各版IE與OS搭配組合，如IE 9配Server 2008、IE 10配Server 2012，而IE 11受攻擊面最廣，在Windows7、8.1、10與Server 2008、2012、2019、2019皆無從倖免，由於刻正發生在野攻擊，12月19日微軟緊急公告非常態更新，若作業環境不宜(不敢)立即安裝，建議嘗試官方cacls指令教學，先行限制JScript.dll存取，降低IE慣用者風險，最好是換瀏覽器，完全杜絕此項0-day漏洞。

影響產品：