Windows 7とIEはすでに先月のサポートを停止しましたが、原因の重要なIEの脆弱性のMicrosoftの最近の暴露に再びWindows 7のシステムのセキュリティパッチを提供することを決定しました。JavaScriptエンジンが広くハッカーによって使用されている脆弱性が発見された後、Microsoftが決まっているすべてのレガシーIEブラウザ9は、セキュリティ更新プログラムを提供する前に。
CVE-2020-0674速報は書きました:
このリモートコードが実行される脆弱性は、スクリプト・エンジン・オブジェクトを処理するIEブラウザメモリ内に存在します。脆弱性は、破損メモリに攻撃する方法で現在のユーザーのコンテキストで任意のコードを実行することができます。攻撃者はこの脆弱性を悪用現在のユーザーと同じユーザー権限を取得する可能性があります。
管理者ユーザー権限で、現在のユーザーのログは、悪用た場合、攻撃者がこの脆弱性は、影響を受けるシステムの制御を取ることができます。その後、攻撃者はプログラムをインストールすることができます。表示、変更、または削除データ、または完全なユーザー権限を持つ新たなアカウントを作成します。
ネットワーク攻撃のシナリオでは、攻撃者はIEの脆弱性の生産に特化し、特別に細工されたWebサイトを使用して、Webサイトを表示するようにユーザーを納得させることができます。IEのレンダリングエンジンにアクセスすることが攻撃者は、Microsoft Officeの生産性アプリケーションでホストされているか、「安全な初期化のための」ActiveXコントロールとしてマークされた文書に埋め込まれています。攻撃者はまた、感染、受諾またはホストされているコンテンツ、または広告のユーザーのサイトを利用することができます。これらのサイトはこの脆弱性を悪用する可能性のある特別に細工されたコンテンツが含まれている可能性があります。
(そのような文書やPDFなど)HTMLをホストすることができる任意のアプリケーションプログラムによってトリガすることができエクスプロイト、およびWindows 7,8.1および10の「深刻」格付けを持っており、現在広くハッカーによって使用されています。マイクロソフトは、これらのオペレーティングシステムおよびWindows Server 2008,2012および2019のパッチのすべてのために解放されます。
写本:cnBeta