Microsoft 发布了一个安全公告 (ADV200001) 以减低 Microsoft Internet Explorer 中 JScript.dll 的一个远端执行程式码漏洞的影响。攻击者可诱使用户浏览包含特制内容的网页从而攻击这个漏洞。
有报告观察到针对 Microsoft Internet Explorer (CVE-2020-0674) 漏洞的攻击以致远端执行程式码。由于 Microsoft 仍在为这个修补方案工作中,用户不应使用 Internet Explorer 浏览互联网直至处理该漏洞的相对修补程式发布。
Microsoft 对 Internet Explorer 10 的支援将于2020年1月31日停止,在这之后也不会再提供安全更新。用户应安排升级至 Internet Explorer 11 ,或转至其他受支援的技术。
成功利用这些漏洞可以导致在受影响的系统远端执行程式码。
受影响产品的修补程式仍未发布。用户应实行以下措施以减低被入侵的风险:
(a) 暂停使用 Microsoft Internet Explorer
受影响用户不应使用 Internet Explorer 浏览互联网,以及把预设的浏览器更改为 Microsoft Internet Explorer 以外的浏览器,直至相对修补程式的发布。
(b) 不应向浏览互联网的用户授予任何管理权限
系统管理员应按需要而授予用户管理权限。用户亦应避免使用拥有管理权限的帐户浏览互联网,以减低这个漏洞的受到攻击的影响。
(c) 使用 Microsoft 提供的处理方法
Microsoft 提供了变通方法来限制对 JScript.dll 的存取。由于实行该变通方法可导致依赖 JScript.dll 的元件或装置的功能减少,因此用户应在采用该变通的方法之前作适当评估。有关实行该变通方法的详细步骤,请参考以下网址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001
https://support.microsoft.com/en-us/help/4488955/support-ending-for-internet-explorer-10
https://www.hkcert.org/my_url/zh/alert/20011901
https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0674