微软 Windows JScript 组件被曝 RCE 漏洞

Telspace Systems 公司的研究员发现微软的 Windows JScript 组件存在重要漏洞，可导致远程攻击者在用户电脑上执行恶意代码。 由于该漏洞影响 JScript 组件（微软自定义的 JavaScript 执行），唯一的条件就是攻击者必须诱骗用户访问一个恶意网页或者在系统上下载并打开恶意 JS 文件（一般经由 Windows Script Host-wscript.exe 执行）。 这个缺陷存在于 JScript 对 Error 对象的处理过程中。攻击者通过在JScript 中执行动作，能够导致某个指针在释放后遭重用。攻击者能利用该漏洞在当前进程下执行代码。 微软目前已经收到研究人员的漏洞报告，但尚未发布补丁。 研究人员表示，在披露漏洞之时并未发现漏洞遭利用的情况，因为网上几乎不存在技术详情，因此在微软发布修复方案前很可能还是未遭利用的情况。 目前建议用户不要使用依靠 JScript 组件的应用如 IE 浏览器、wscript.exe 等来处理不受信任的 JS 代码或文件。

本文地址：https://www.51php.com/safety/26787.html