為修復(fù)IE瀏覽器中的關(guān)鍵零日漏洞，微軟發(fā)布帶外安全更新。

微軟發(fā)布帶外安全更新以修復(fù)影響IE瀏覽器的關(guān)鍵零日漏洞。

據(jù)該科技巨頭稱，攻擊者在公網(wǎng)上利用了編號(hào)為CVE-2018-8653的漏洞。

該零日漏洞是由谷歌研究員克萊門(mén)特·萊西涅（ClementLecigne）發(fā)現(xiàn)的，這是一個(gè)存在于IE瀏覽器腳本引擎的遠(yuǎn)程代碼執(zhí)行漏洞。

該不確定內(nèi)存損壞漏洞影響了處理腳本語(yǔ)言的微軟IE瀏覽器腳本引擎JScript組件。

據(jù)安全公告稱，“在腳本引擎處理位于IE瀏覽器內(nèi)存中的對(duì)象路徑中，存在遠(yuǎn)程代碼執(zhí)行漏洞。該漏洞可損壞內(nèi)存，而攻擊者可借此在當(dāng)前用戶的上下文中執(zhí)行任意代碼?！?/p>

“成功利用該漏洞的攻擊者可獲得與當(dāng)前用戶相同的權(quán)限。若當(dāng)前用戶是以管理員身份登錄的，成功利用該漏洞的黑客將可控制受影響系統(tǒng)。黑客便可趁機(jī)安裝程序；查看、更改或刪除數(shù)據(jù)；或者完全利用用戶的權(quán)限創(chuàng)建新賬戶?！?/p>

專家還描述了一種基于網(wǎng)頁(yè)的攻擊設(shè)想，攻擊者托管了一個(gè)網(wǎng)站，該網(wǎng)站是為觸發(fā)IE瀏覽器漏洞并誘使受害者瀏覽網(wǎng)站而專門(mén)設(shè)計(jì)的。

遠(yuǎn)程攻擊者還可引誘受害者瀏覽專門(mén)制作的HTML文檔、Office文檔、PDF文件或者任何支持嵌入式IE腳本引擎內(nèi)容的其他文檔。

黑客還可利用該漏洞在當(dāng)前用戶的上下文中執(zhí)行任意代碼。