微軟 Windows JScript 組件被曝 RCE 漏洞

Telspace Systems 公司的研究員發現微軟的 Windows JScript 組件存在重要漏洞，可導致遠程攻擊者在用戶電腦上執行惡意代碼。 由于該漏洞影響 JScript 組件（微軟自定義的 JavaScript 執行），唯一的條件就是攻擊者必須誘騙用戶訪問一個惡意網頁或者在系統上下載并打開惡意 JS 文件（一般經由 Windows Script Host-wscript.exe 執行）。 這個缺陷存在于 JScript 對 Error 對象的處理過程中。攻擊者通過在JScript 中執行動作，能夠導致某個指針在釋放后遭重用。攻擊者能利用該漏洞在當前進程下執行代碼。 微軟目前已經收到研究人員的漏洞報告，但尚未發布補丁。 研究人員表示，在披露漏洞之時并未發現漏洞遭利用的情況，因為網上幾乎不存在技術詳情，因此在微軟發布修復方案前很可能還是未遭利用的情況。 目前建議用戶不要使用依靠 JScript 組件的應用如 IE 瀏覽器、wscript.exe 等來處理不受信任的 JS 代碼或文件。

本文地址：http://www.mishkantour.com/safety/26787.html