WindowsJScript元件曝遠端程式碼執行漏洞

該漏洞是由Dmitri Kaslov of Telspace Systems系統發現的，然後經過Trend Micro的ZDI專案報告給微軟。從1月份報告給微軟至今，微軟一直沒有釋出該漏洞的補丁。最終，ZDI於2018年5月29日公佈了該漏洞的詳情。

JScript漏洞導致RCE

根據ZDI釋出的公告，攻擊者可以利用該漏洞在使用者計算機上遠端執行惡意程式碼。

因為該漏洞影響到的是JScript元件，所以唯一的條件是攻擊者必須欺騙使用者訪問一個惡意的web頁面，或者在系統中下載和開啟惡意的JS檔案。

ZDI的研究人員解釋到，該漏洞是JScript Error物件處理中存在的特定漏洞。通過執行JScript中的動作，攻擊者可以讓一個被釋放的指標被重用。因此，攻擊者可以利用該漏洞在當前程式環境下執行程式碼。

因為該漏洞非常敏感，研究人員說在補丁釋出前，不會透露太多的細節內容。

漏洞並不會導致整個系統被入侵

Gorenc說，該漏洞並沒有想象地那麼危險，並不會讓整個系統遭到入侵。

該漏洞允許程式碼在沙箱環境中執行，攻擊者需要利用其它的漏洞來達到沙箱逃逸的目的，並在目標系統上執行程式碼。

該漏洞的CVSSv2評分為6.8，與大多數漏洞相比，還是比較危險的。

微軟回應

微軟工作人員稱正在抓緊開發補丁，具體的補丁釋出時間未定。

據瞭解，微軟正在進行漏洞修復程式，但沒有在規定的漏洞披露時間內釋出補丁，所以ZDI研究人員公佈了該漏洞。

ZDI專家建議使用者在使用IE、wscript.exe等依賴JScript元件的應用處理不可信的JS程式碼或檔案時一定要非常注意。

原文釋出時間為：2018-06-5

本文來自雲棲社群合作伙伴“嘶吼網”，瞭解相關資訊可以關注“”。