首页  中心简介  部门动态  规章制度  技术服务  校园视频  校园图库  I T 资讯  学院首页 
 部门动态 
教务系统 邮件服务
教学平台 vpn服务
图书馆 网络安全
实验预约 统一身份认证
当前位置: 首页>>部门动态>>正文
关于IE浏览器组件漏洞修复补丁的通知
2019-09-30 09:08     (点击: )

CVE-2019-1367 | 脚本引擎内存损坏漏洞预警

2019年09月23日,微软发布了针对 IE浏览器组件 jscript.dll 的漏洞修复补丁,成功利用此漏洞会破坏内存,可以在当前用户的上下文中实现UAF,执行任意代码。成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序、查看、更改或删除数据,或创建具有完全用户权限的新帐户。

漏洞描述

2019年09月23日,微软发布了针对 IE浏览器组件 jscript.dll 的漏洞修复补丁,该漏洞由Google威胁分析小组的安全研究员发现,成功利用此漏洞会破坏内存,可以在当前用户的上下文中实现UAF,执行任意代码。

如果当前用户使用管理用户权限登录(大部分个人电脑会以管理员权限登录),则成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序、查看、更改或删除数据,或创建具有完全用户权限的新帐户。

在基于Web的攻击情形中,攻击者可以刻意构造一个利用该漏洞的网页,诱使用户查看该网站(例如,通过发送电子邮件);或者攻击者还可以利用广泛存在的互联网软件内嵌广告页面进行挂马攻击,类似攻击曾经制造过严重的病毒感染事件。漏洞等级 高危,严重级,在Server操作系统默认设置环境为中等级

影响范围

IE 9、10 、11版本,该漏洞在Windows专业版、Windows家庭版环境严重程度为“严重”,在Windows Server版操作系统严重程度为“中等”,因IE浏览器在Server操作系统运行在“受限模式”,减轻了漏洞风险。

修复建议

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启,也可以通过下载参考链接中的软件包,手动进行升级。

1.windows server / windows 检测并开启Windows自动更新流程如下

点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步

点击控制面板页面中的“系统和安全”,进入设置。

在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

然后进入到了设置窗口了,可以看到其中的下拉菜单项,打开下拉菜单项,选择其中的自动安装更新(推荐)。

2.或者可以使用腾讯安全已发布的IE脚本远程代码执行漏洞(CVE-2019-1637)修复工具,帮助用户安装补丁修复该漏洞,下载地址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/IERmtVulFixv1.exe

下载后执行按提示操作即可修复该漏洞。

3.或者可以安装360安全卫士一键自动修复。

关闭窗口

制作维护:吕梁学院信息化与现代教育技术中心  联系邮箱xxzx@llhc.edu.cn

Copyright © 吕梁学院信息化与现代教育技术中心  All Rights Reserved