尽管Windows 7 和 IE 浏览器都已经于上月停止支持,但由于IE 漏洞严重级别很高。所以微软决定再次为 Windows 7 系统提供安全补丁。这样的做法也在预料之中,毕竟是自家的孩子,就像前段时间出现的想哭病毒(永恒之蓝),大量xp中招,但是xp已经停止维护多了。微软为了维系客户不的照样发布相关补丁。
尽管在中国盗版很多,但是还是有很多企业,政府单位是微软的大客户。你懂的。
在发现了一个被黑客广泛使用的 JavaScript 引擎漏洞之后,微软决定为所有 IE 9 之前的旧版浏览器提供安全更新。
CVE-2020-0674 公告中写道:
这个远程代码执行漏洞存在于 IE 浏览器处理脚本引擎对象的内存中。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。
如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。
在网络攻击情境中,攻击者可能会制作专门利用该IE漏洞的特制网站,然后诱使用户查看该网站。攻击者能够访问托管在IE渲染引擎上的应用或者微软 Office 办公文档中嵌入标记为“初始化安全”的 ActiveX 控件。攻击者还可能利用受感染的网站,接受或托管用户提供的内容或广告。这些网站可能包含可以利用此漏洞的特制内容。
该漏洞利用可以通过任何可承载 HTML 的应用程序(例如文档或 PDF)来触发,并且在 Windows 7、8.1 和 10 上具有“严重”等级,并且目前正被黑客广泛使用。 Microsoft 将发布针对所有这些操作系统以及 Windows Server 2008、2012 和 2019 的补丁程序。
