前期焦點

IE瀏覽器的零日漏洞
2019-1-23

微軟於2018年12月19日發布了一個IE的緊急更新,主要是修補IE瀏覽器的重要漏洞,其影響主要範圍包含IE-9、IE-10、IE-11。由於微軟已經於2016年1月停止對舊版IE(IE-10以前)提供更新服務,所以請記得將IE更新為最新版IE-11,並開啟Windows Update安裝此更新檔,或由微軟網址安裝更新檔https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8653

此漏洞(CVE-2018-8653)允許攻擊者對目標電腦進行遠端存取,進而在掌握受害電腦的系統權限。當使用者瀏覽具有惡意原碼的網站時,IE的Scripting引擎(處理VBScript and JScript)會觸發主機記憶體毀損,進而存取範圍外的記憶體位置,並能執行任意代碼,包含創建帳號權限。常見的手法是在網頁的廣告中植入惡意的Script代碼,讓使用者瀏覽網頁時,即可入侵受害者主機。