原文标题:Microsoft Issues Internet Explorer an Emergency Patch
原文作者: Lucian Armasu
译文出自:云子可信官方论坛
永久链接:https://bbs.cloudtrust.com.cn/thread-410-1-1.html
译者:云子可信汉化组
微软正在使用Google Chromium 渲染并重建其Internet Explorer 和Edge 浏览器引擎,但Google 工程师Clement Lecigne 发现了一个影响Internet Explorer 9,10和11版本的关键性漏洞。
近日,微软发布了针对Windows 7的紧急更新,8.1和10个版本,以及Windows Server 2008,2012,2016和2019。
Internet Explorer 漏洞
该漏洞名为 CVE-2018-8653,是由Internet Explorer 的脚本引擎在处理内存对象时产生的。攻击者利用此漏洞,可以获取与当前使用者相同系统权限的方式开展对系统内存的破坏,这种方式是通过运行恶意代码实现的。
默认情况下Windows 帐户是管理员(而不是标准/限制),意味着在大多数情况下,攻击者也会获得管理权限,可以实现安装程序,窃取信息,删除数据等操作。攻击者还有可能会专门设计一个网站,在该漏洞下,用户了访问该恶意网站,攻击者便可以直接接管他的系统。
微软表示,现已发布Internet Explorer 紧急补丁,修改了脚本引擎处理内存对象的方式,以防止发生此类攻击。
微软正在开发更安全的浏览器
最近,我们了解到微软已经放弃了使用自己的EdgeHTML 渲染引擎与谷歌竞争,并将很快推出基于Chromium 的浏览器。
Chrome 已被大众视为最安全的浏览器,而微软推出的两款浏览器都暴露出长久的安全问题。甚至Edge 也经常容易受到利用浏览器集成Internet Explorer 11 的渲染引擎以进行遗留支持的攻击。
微软本身有一个安全的代码库,如果使用了Chromium,他们需要跟上Chromium 开源社区和谷歌的步伐,保持更新频率。
我们经常可以看到其他在Chromium 之上构建的浏览器版本落后于Google Chrome 使用的最新版本。这意味着在这些浏览器中已知安全问题有极大可能会存在数月。攻击者只需要密切关注谷歌在最新版Chrome 中修复的漏洞类型,紧接着他们就可以开始在微软的新浏览器中利用这些漏洞了。
未来,微软是否能够找到一种方法妥善处理类似情况,让我们拭目以待吧。
云子可信,中小企业安全SaaS,企业 IT 本该如此简单
终端电脑上网行为管控、软件管理、远程协助、U 盘管控等十二大功能 >>>点我了解更多