Microsoft发布紧急更新以修复主动利用的IE RCE漏洞

Microsoft发布紧急更新以修复主动利用的IE RCE漏洞
微软已经发布了带外安全更新，以解决Internet Explorer中的一个漏洞，该公司称该漏洞已在野外被利用。
该漏洞在CVE-2019-1367中进行了详细描述，是脚本引擎内存损坏漏洞，它可能允许攻击者完全控制未打补丁的主机。
攻击者唯一需要的方法是将用户指向精心制作的网站，该网站隐藏着专门为利用此漏洞而开发的恶意代码。访问此页面后，攻击者可以获得与登录用户相同的权限，因此，如果使用管理员帐户，则意味着可以完全控制系统。

●所有受影响的Windows版本
“脚本引擎处理Internet Explorer中内存中的对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。”
“成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可能会安装程序。查看，更改或删除数据；或创建具有完全用户权限的新帐户。”
Windows 7，Windows 8.1和Windows 10均会影响Internet Explorer 9、10和11版本。除非应用了修补程序，否则Windows Server主机也容易受到攻击。
关于此修补程序的更尴尬的事情是，尽管解决了Internet Explorer中一个被主动利用的安全漏洞，因此以带外更新的形式提供，但并未通过Windows Update发行。该修补程序仅作为手动更新提供，用户需要从Microsoft更新目录下载并安装在其设备上。