Windows JScript 组件0day 远程代码执行漏洞安全通告
发布时间 2018-06-01漏洞编号
CVE暂无
漏洞级别
中
厂商自评:6.8 CVSS分值:官方未评定
漏洞描述
近日,windows系统又发现一起0day漏洞,该漏洞是由系统中的JScript组件造成的,允许远程攻击者在用户的PC上执行恶意代码, 虽然微软并未提供计划推出补丁的确切时间表,但一位发言人表明他们正在进行修复。
5月29日,ZDI发布了一份报告,其中包含有关该错误的详细技术细节:
由于该漏洞影响 JScript 组件(微软自定义的 JavaScript 执行),唯一的条件就是攻击者必须诱骗用户访问一个恶意网页或者在系统上下载并打开恶意 JS 文件(一般经由 Windows Script Host-wscript.exe 执行)。
这个缺陷存在于 JScript 对 Error 对象的处理过程中。攻击者通过在JScript 中执行动作,能够导致某个指针在释放后遭重用。攻击者能利用该漏洞在当前进程下执行代码。
该漏洞的危险系数并没有听上去的那么高,因为它无法导致系统遭完全攻陷。这个缺陷仅允许沙箱环境中的代码执行问题。攻击者需要其它利用才能逃离沙箱并在目标系统上执行代码。
微软正在推出补丁,不过已经超出了披露策略设置的时间轴。
通常在披露缺陷后给予厂商120天的时间发布补丁。从微软恢复的时间轴来看,微软难以复现触发该漏洞的 PoC 代码,从而花费了75%的披露时间轴,导致工程师无法及时赶在5月的补丁星期二测试并发布补丁。
虽然微软并未提供推出补丁的具体时间轴,但微软的一名发言人证实称正在推出修复方案。
在披露漏洞之时并未发现漏洞遭利用的情况。因为网上几乎不存在技术详情,因此在微软发布修复方案前很可能还是未遭利用的情况。
解决措施
建议用户不要使用依靠 JScript 组件的应用如 IE 浏览器、wscript.exe 等来处理不受信任的 JS 代码或文件。
参考资料
京公网安备11010802024551号