微软发布带外安全更新以修复影响IE浏览器的关键零日漏洞

为修复IE浏览器中的关键零日漏洞，微软发布带外安全更新。

微软发布带外安全更新以修复影响IE浏览器的关键零日漏洞。

据该科技巨头称，攻击者在公网上利用了编号为CVE-2018-8653的漏洞。

该零日漏洞是由谷歌研究员克莱门特·莱西涅（ClementLecigne）发现的，这是一个存在于IE浏览器脚本引擎的远程代码执行漏洞。

该不确定内存损坏漏洞影响了处理脚本语言的微软IE浏览器脚本引擎JScript组件。

据安全公告称，“在脚本引擎处理位于IE浏览器内存中的对象路径中，存在远程代码执行漏洞。该漏洞可损坏内存，而攻击者可借此在当前用户的上下文中执行任意代码。”

“成功利用该漏洞的攻击者可获得与当前用户相同的权限。若当前用户是以管理员身份登录的，成功利用该漏洞的黑客将可控制受影响系统。黑客便可趁机安装程序；查看、更改或删除数据；或者完全利用用户的权限创建新账户。”

专家还描述了一种基于网页的攻击设想，攻击者托管了一个网站，该网站是为触发IE浏览器漏洞并诱使受害者浏览网站而专门设计的。

远程攻击者还可引诱受害者浏览专门制作的HTML文档、Office文档、PDF文件或者任何支持嵌入式IE脚本引擎内容的其他文档。

黑客还可利用该漏洞在当前用户的上下文中执行任意代码。