Internet Explorer 又被發現漏洞，但這次微軟不打算立刻修復

就在基於 Chromium 的 Edge 瀏覽器正式上線後，好巧不巧，該軟體「前身」的 Internet Explorer，又再度被發現資安漏洞，能讓駭客遠端運行惡意程式碼。

微軟表示，該 Internet Explorer 的漏洞被命名為「CVE-2020-0674」，所有 Windows 版本都會受到影響，包含前幾天正式停止支援的 Windows 7，IE 版本則為 Internet Explorer 9 到 Internet Explorer 11。

另外，微軟也確認 CVE-2020-0674 漏洞已經遭到駭客利用，但他們並不打算立刻修復。

由於 CVE-2020-0674 含有重大資安風險，所以詳細內容並沒有被公開，只知道漏洞本身與 Internet Explorer 處理記憶體空間的方式有關，攻擊者將可以利用此漏洞，在受影響的電腦上遠端運行惡意程式碼，途徑則是經由網頁搜尋或電子郵件，讓使用者點擊連結並開啟惡意網站後達成。

據信，CVE-2020-0674 與早些時候 Mozilla 在 Firefox 瀏覽器上找到的漏洞類似。微軟與 Mozilla 都認為，來自中國的安全研究團隊奇虎 360，透過主動攻擊的方式，找到了這些漏洞。

不過無論奇虎、微軟和 Mozilla，三方均未說明攻擊者要如何利用此漏洞，或者已發動攻擊的駭客是誰，以及誰是漏洞攻擊的針對對象。值得注意的是，美國電腦緊急應變小組（US-Cert）對外發布了 CVE-2020-0674 已經遭到利用的相關警告，這或許代表該漏洞有可能危及到了國土安全。

微軟向國外媒體表示，CVE-2020-0674 漏洞為「有限度的針對性攻擊」，官方正在研究修補方式，但不太可能於 2 月 11 日，即下一輪每月安全性更新前發表解決方案。

IE有個已被開採的零時差漏洞

才在上周二Patch Tuesday修補49個安全漏洞的微軟，又在上周五（1/17）公布一安全通報（Security Advisory），指出IE瀏覽器含有一個記憶體毀損漏洞，將允許駭客自遠端執行任意程式，而且坊間已出現針對該漏洞的目標式攻擊。

此一零時差漏洞的編號為CVE-2020-0674，存在於腳本引擎處理記憶體物件的方式，此一漏洞可用來破壞記憶體，成功的開採將允許駭客取得使用者權限，若使用者以管理員權限登入，代表駭客也能掌控整個系統，任意安裝程式、變更或刪除資料，也能建立具備完整使用者權限的新帳號。

駭客得以建立一個專門開採該漏洞的網站，並以電子郵件或其它途徑誘導IE用戶造訪，伺機入侵受害者系統。

此一漏洞影響了Windows Server 2008上的IE 9、Windows Server 2012上的IE 10，Windows 7/8.1/10上的IE 11，以及Windows Server 2016/2019上的IE 11。

美國電腦緊急回應團隊協調中心（CERT Coordination Center，CERT/CC）亦針對此一漏洞提出了警告，該中心提供了更詳細的解釋，指出IE含有一個專門用來處理VBScript或JScript等腳本程式的腳本引擎，其中的JScript元件含有一個記憶體毀損漏洞，任何支援嵌入式IE或其腳本引擎元件的應用程式，都可能被用來作為攻擊媒介。

CERT/CC還描繪了更多的攻擊場景，指出駭客只要誘導使用者造訪一個特製的HTML文件、PDF檔案、微軟Office文件，或是任何支援嵌入式IE腳本引擎內容的文件，就有機會開採該漏洞。

該漏洞在不同平台上有著不同的嚴重程度，由於Windows Sever平台上的IE都採用增強式安全性設定（Enhanced Security Configuration）作為預設值，代表它是在受限模式中執行，可減少使用者下載或執行特製內容的機會，因此在這些平台上的漏洞嚴重性只有中度，但在7/8.1/10平台上則屬於重大漏洞。微軟建議IE用戶可限制對JScript.dll的存取能力，以降低該漏洞所帶來的威脅。

微軟已著手修補該漏洞，並說標準程序是在下個月的第二個周二修補，並未承諾提前修補。此外，微軟已於今年1月14日終止支援的Windows 7也受到此一漏洞的波及，外界亦關心微軟是否會破例修補該平台上的CVE-2020-0674漏洞。