Microsoft 在其浏览器 Internet Explorer 中修复了一个与内存损坏无关的零日安全漏洞。
标记为 CVE-2021-26411 的此破绽使攻击者可能坑骗用户拜访 Internet Explorer 上托管的特制歹意网站。此外,攻击者可能会在容许用户托管内容的网页上公布歹意广告,从而毁坏现有网站。只管攻击者首先必须应用电子邮件或即时消息诱使用户参加这些广告和网站以危害受害者,但潜在的整个 Internet 的歹意行为者都能够利用此破绽。
该破绽使用户的内容完整性面临严重威胁
因为该破绽存在于网络堆栈中,因而该 CVE 能够作为近程可执行文件应用。此外,攻击者无需任何非凡的降级特权即可利用此破绽。一旦证实攻打胜利,攻击者便有可能批改任何拜访的文件和其余用户信息,从而使用户的内容完整性面临重大危险。
兴许最乏味的是,在这种状况下,黑客破费了数周的工夫专门建设了以安全性钻研为指标的信赖。自发现以来,钻研人员已将这次袭击追溯到朝鲜。攻击者通过原始的钻研博客与钻研人员分割,建设了无效的分割,并创立了 Twitter 角色以申请进行我的项目单干。虚伪的社交媒体材料将提醒钻研人员拜访网页。从那里,即便是齐全修补的 Windows 10 计算机也最终会装置歹意服务和内存后门,以与攻击者管制的服务器进行通信。
除了 Internet Explorer 之外,这个破绽还影响了微软更平安的浏览器 Edge。此外,钻研人员最终发现,攻击者利用一个欺诈性的 Visual Studio Project 网站来补充他们的“水坑”攻打,该网站显然蕴含一个概念验证破绽的源代码。这个所谓的我的项目实际上蕴含了定制的恶意软件,这些恶意软件与黑客的管制服务器获得了分割。
截至目前,Microsoft 已公布针对此破绽的官网修补程序和降级。那些须要立刻更新的 Microsoft 用户能够在其零碎上拜访“开始”>“设置”>“更新和安全性”>“Windows Update”。