来源:开源中国

周一，微软警告用户在流行的互联网浏览器中存在高风险漏洞。攻击者可以接管您的计算机，在您的计算机上安装和卸载程序，查看、更改或删除数据，甚至创建具有完全用户权限的新帐户。

根据微软的安全公告，此漏洞的根本原因是脚本引擎处理内存中对象的方式。具体来说，在处理内存中的对象时，浏览器中的脚本引擎具有远程代码执行漏洞。该漏洞以这种方式破坏内存，然后攻击者可以在当前用户的上下文中执行任意代码。

成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果当前用户以管理员用户权限登录，攻击者可以控制受影响的系统。然后，攻击者将在您的计算机上安装和卸载程序，查看、更改或删除数据，甚至创建具有完全用户权限的新帐户。

在基于网络的攻击场景中，攻击者可能拥有一个特制的网站，旨在通过互联网资源管理器利用此漏洞，然后诱使用户查看该网站(例如，通过发送网络钓鱼电子邮件)。

虽然微软发布了安全更新，但它通过修改脚本引擎处理内存中对象的方式解决了此漏洞。然而，微软再次提醒用户放弃这个过时的浏览器。今年2月，微软安全研究人员敦促用户停止使用IE作为默认浏览器。4月下旬，我们了解到，即使只在计算机上安装了互联网资源管理器，即使不使用，也存在安全风险。

您可能喜欢

微软工业工程暴露零日漏洞:一种旧的文件格式，可能导致系统文件被盗