Telspace Systems 公司的研究員發(fā)現(xiàn)微軟的 Windows JScript 組件存在重要漏洞，可導(dǎo)致遠(yuǎn)程攻擊者在用戶電腦上執(zhí)行惡意代碼。 由于該漏洞影響 JScript 組件（微軟自定義的 JavaScript 執(zhí)行），唯一的條件就是攻擊者必須誘騙用戶訪問一個惡意網(wǎng)頁或者在系統(tǒng)上下載并打開惡意 JS 文件（一般經(jīng)由 Windows Script Host-wscript.exe 執(zhí)行）。 這個缺陷存在于 JScript 對 Error 對象的處理過程中。攻擊者通過在JScript 中執(zhí)行動作，能夠?qū)е履硞€指針在釋放后遭重用。攻擊者能利用該漏洞在當(dāng)前進(jìn)程下執(zhí)行代碼。 微軟目前已經(jīng)收到研究人員的漏洞報告，但尚未發(fā)布補丁。 研究人員表示，在披露漏洞之時并未發(fā)現(xiàn)漏洞遭利用的情況，因為網(wǎng)上幾乎不存在技術(shù)詳情，因此在微軟發(fā)布修復(fù)方案前很可能還是未遭利用的情況。 目前建議用戶不要使用依靠 JScript 組件的應(yīng)用如 IE 瀏覽器、wscript.exe 等來處理不受信任的 JS 代碼或文件。

本文地址：http://www.gle-technology.com/safety/26787.html