CVE-2020-0674: IE 0 day漏洞
微软在发布的安全公告(ADV200001)中提到了一个影响IE浏览器的0day 远程代码执行漏洞——CVE-2020-0674,微软确定该 0day漏洞已有在野利用。
根据微软发布的安全公告,CVE-2020-0674漏洞是一个远程代码执行漏洞,漏洞存在于IE浏览器中的脚本引擎在内存中处理对象的方式。该漏洞会破坏内存以至于攻击者可以在当前用户环境下执行任意代码。成功利用该漏洞的攻击者可以获取与当前用户相同的用户权限。如果当前用户是以管理员用户权限登陆的,那么攻击者也就获取了管理员用户权限,可以通过利用该漏洞完全控制受影响的系统。攻击者成功利用该漏洞后可以在受影响的系统中安装应用程序,查看、修改或删除数据,还可以创建含有所有用户权限的新的用户账户。受影响的版本包括Internet Explorer 9/10/11。
在基于web的攻击场景中,攻击者可以通过专门伪造一个通过IE浏览器利用该漏洞的网站,然后通过发送邮件等方式诱使用户查看该网站。
微软称正在开发修复该漏洞的补丁,由于已经发现了在野漏洞利用,因此微软发布了一个快速更新。微软建议用户使用以下方式通过限制对JScript.dll的访问来缓解该0 day漏洞。
在32位操作系统中,在管理员命令窗口中输入以下命令:
takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N
在64位操作系统中,在管理员命令窗口中输入以下命令:
takeown /f %windir%\syswow64\jscript.dll cacls %windir%\syswow64\jscript.dll /E /P everyone:N takeown /f %windir%\system32\jscript.dll cacls %windir%\system32\jscript.dll /E /P everyone:N
微软同时称这种修复的方式可能会影响使用jscript.dll的功能或组件。微软建议用户在安装补丁前回退以上快速修复方案,具体方式如下:
在32位操作系统中,在管理员命令窗口中输入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
在64位操作系统中,在管理员命令窗口中输入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone cacls %windir%\syswow64\jscript.dll /E /R everyone