Microsoft 發布了一個安全公告 (ADV200001) 以減低 Microsoft Internet Explorer 中 JScript.dll 的一個遠端執行程式碼漏洞的影響。攻擊者可誘使用戶瀏覽包含特製內容的網頁從而攻擊這個漏洞。
有報告觀察到針對 Microsoft Internet Explorer (CVE-2020-0674) 漏洞的攻擊以致遠端執行程式碼。由於 Microsoft 仍在為這個修補方案工作中,用戶不應使用 Internet Explorer 瀏覽互聯網直至處理該漏洞的相對修補程式發布。
Microsoft 對 Internet Explorer 10 的支援將於2020年1月31日停止,在這之後也不會再提供安全更新。用戶應安排升級至 Internet Explorer 11 ,或轉至其他受支援的技術。
成功利用這些漏洞可以導致在受影響的系統遠端執行程式碼。
受影響產品的修補程式仍未發布。用戶應實行以下措施以減低被入侵的風險:
(a) 暫停使用 Microsoft Internet Explorer
受影響用戶不應使用 Internet Explorer 瀏覽互聯網,以及把預設的瀏覽器更改為 Microsoft Internet Explorer 以外的瀏覽器,直至相對修補程式的發布。
(b) 不應向瀏覽互聯網的用戶授予任何管理權限
系統管理員應按需要而授予用戶管理權限。用戶亦應避免使用擁有管理權限的帳戶瀏覽互聯網,以減低這個漏洞的受到攻擊的影響。
(c) 使用 Microsoft 提供的處理方法
Microsoft 提供了變通方法來限制對 JScript.dll 的存取。由於實行該變通方法可導致依賴 JScript.dll 的元件或裝置的功能減少,因此用戶應在採用該變通的方法之前作適當評估。有關實行該變通方法的詳細步驟,請參考以下網址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200001
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200001
https://support.microsoft.com/en-us/help/4488955/support-ending-for-internet-explorer-10
https://www.hkcert.org/my_url/zh/alert/20011901
https://www.us-cert.gov/ncas/current-activity/2020/01/17/microsoft-releases-security-advisory-internet-explorer
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0674