在這里了解當今互聯網的最新動態
在這里了解當今
Windows 操作系統的 JScript 組件中存在一個漏洞,可導致攻擊者在用戶電腦上執行惡意代碼。
Telspace Systems 公司的研究員 Dmitri Kaslov 發現了這個漏洞并將其提交至趨勢科技的 ZDI 計劃。1月,ZDI 專家將問題告知微軟,但微軟尚未發布補丁。昨天,ZDI 公布了包含一些漏洞技術詳情的總結報告。
JScript 漏洞可導致遠程代碼執行
報告指出,這個漏洞可導致遠程攻擊者在用戶電腦上執行惡意代碼。
由于該漏洞影響 JScript 組件(微軟自定義的 JavaScript 執行),唯一的條件就是攻擊者必須誘騙用戶訪問一個惡意網頁或者在系統上下載并打開惡意 JS 文件(一般經由 Windows Script Host-wscript.exe 執行)。
ZDI 專家解釋稱,“這個缺陷存在于 JScript 對 Error 對象的處理過程中。攻擊者通過在JScript 中執行動作,能夠導致某個指針在釋放后遭重用。攻擊者能利用該漏洞在當前進程下執行代碼。”
趨勢科技 ZDI 的主管 Brain Gorenc 表示,“由于問題敏感,我們并不想在微軟發布修復方案前提到太多的技術詳情。”
無法導致系統完全遭攻陷
Gorenc 表示,該漏洞的危險系數并沒有聽上去的那么高,因為它無法導致系統遭完全攻陷。他指出,這個缺陷僅允許沙箱環境中的代碼執行問題。攻擊者需要其它利用才能逃離沙箱并在目標系統上執行代碼。
這個漏洞的 CVSSv2 評分是6.8,和多數漏洞相比,它算得分比較高的漏洞。
微軟正在著手推出補丁
Gorenc 表示,微軟正在推出補丁,不過已經超出了 ZDI 的披露策略設置的時間軸。
ZDI 通常在披露缺陷后給予廠商120天的時間發布補丁。從微軟恢復的時間軸來看,微軟難以復現觸發該漏洞的 PoC 代碼,從而花費了75%的披露時間軸,導致工程師無法及時趕在5月的補丁星期二測試并發布補丁。
雖然微軟并未提供推出補丁的具體時間軸,但微軟的一名發言人證實稱正在推出修復方案。
Gorenc 表示,ZDI 在披露漏洞之時并未發現漏洞遭利用的情況。因為網上幾乎不存在技術詳情,因此在微軟發布修復方案前很可能還是未遭利用的情況。
目前,ZDI 專家建議用戶不要使用依靠 JScript 組件的應用如 IE 瀏覽器、wscript.exe 等來處理不受信任的 JS 代碼或文件。
資訊列表
其他的資訊
OTHER
