שבוע קשה למיקרוסופט: חולשה חדשה התגלתה לדפדפן אקספלורר
אחרי החולשה שגילה הNSA למנגנון ההצפנה של מוצרי מיקרוסופט מגיעה חולשה חדשה שמנצלת את מנוע הג'אווה סקריפט של האקספלורר
עמי רוחקס דומבה
| 20/01/2020
bigstockphoto
אחרי החולשה שגילה הNSA למנגנון ההצפנה של מוצרי מיקרוסופט (CVE-2020-0601), מגיעה חולשה חדשה לדפדפן האקספלורר (CVE-2020-0674). מדובר בחולשה המאפשרת לתוקף להריץ קוד זדוני על מערכת המריצה את הדפדפן. החולשה כבר מנוצלת על ידי תוקפים, כך לפי מיקרוסופט.
Microsoft Internet Explorer מכיל מנוע סקריפטים, המטפל בביצוע של שפות סקריפטים כמו VBScript ו- JScript. רכיב JScript של מנוע הסקריפטים מכיל פגיעות המאפשרת השחתת זיכרון. המשמעות היא כי כל יישום התומך בהטמעת Internet Explorer או רכיב מנוע הסקריפטים שלו עשוי לשמש כווקטור תקיפה לפגיעות זו.
על מנת להשתמש בחולשה, על התוקף לשכנע משתמש לטעון דף HTML בעל מבנה מיוחד (למשל דף אינטרנט או קובץ מצורף לדוא"ל), קובץ PDF, מסמך Microsoft Office או כל מסמך אחר התומך בתכני מנוע סקריפט משובץ של Internet Explorer. זאת, על מנת שהתוקף יוכל להריץ קוד בהתבסס על החולשה.
בשלב זה טרם שוחרר תיקון על ידי מיקרוסופט. עם זאת, ישנה המלצה למנוע גישה לספריית jscript.dll על מנת למנוע מהתוקף לנצל את מנוע הסקריפטים.
אחרי החולשה שגילה הNSA למנגנון ההצפנה של מוצרי מיקרוסופט מגיעה חולשה חדשה שמנצלת את מנוע הג'אווה סקריפט של האקספלורר
bigstockphoto
אחרי החולשה שגילה הNSA למנגנון ההצפנה של מוצרי מיקרוסופט (CVE-2020-0601), מגיעה חולשה חדשה לדפדפן האקספלורר (CVE-2020-0674). מדובר בחולשה המאפשרת לתוקף להריץ קוד זדוני על מערכת המריצה את הדפדפן. החולשה כבר מנוצלת על ידי תוקפים, כך לפי מיקרוסופט.
Microsoft Internet Explorer מכיל מנוע סקריפטים, המטפל בביצוע של שפות סקריפטים כמו VBScript ו- JScript. רכיב JScript של מנוע הסקריפטים מכיל פגיעות המאפשרת השחתת זיכרון. המשמעות היא כי כל יישום התומך בהטמעת Internet Explorer או רכיב מנוע הסקריפטים שלו עשוי לשמש כווקטור תקיפה לפגיעות זו.
על מנת להשתמש בחולשה, על התוקף לשכנע משתמש לטעון דף HTML בעל מבנה מיוחד (למשל דף אינטרנט או קובץ מצורף לדוא"ל), קובץ PDF, מסמך Microsoft Office או כל מסמך אחר התומך בתכני מנוע סקריפט משובץ של Internet Explorer. זאת, על מנת שהתוקף יוכל להריץ קוד בהתבסס על החולשה.
בשלב זה טרם שוחרר תיקון על ידי מיקרוסופט. עם זאת, ישנה המלצה למנוע גישה לספריית jscript.dll על מנת למנוע מהתוקף לנצל את מנוע הסקריפטים.
