信息來(lái)源:4hou
1月17日,微軟公布了一個(gè)影響IE 9/10/11版本的0 day遠(yuǎn)程代碼執(zhí)行漏洞——CVE-2020-0674,由于確定該 0 day漏洞已有在野利用,因此微軟發(fā)布了一個(gè)歷史補(bǔ)丁。但該補(bǔ)丁在Windows上引發(fā)了很多問(wèn)題,包括影響部分Windows用戶的打印服務(wù)。
更多關(guān)于CVE-2020-0674: IE 0 day漏洞的詳情參見(jiàn):https://www.4hou.com/posts/J7Mv
為利用該漏洞,攻擊者需要?jiǎng)?chuàng)建一個(gè)精心設(shè)計(jì)的網(wǎng)站,當(dāng)用戶用IE瀏覽器訪問(wèn)該網(wǎng)站時(shí),就會(huì)在訪問(wèn)者電腦上遠(yuǎn)程執(zhí)行命令,而整個(gè)過(guò)程無(wú)需用戶權(quán)限,用戶也不會(huì)知道。
由于目前沒(méi)有安全更新,因此微軟發(fā)布了一個(gè)臨時(shí)補(bǔ)丁,補(bǔ)丁修改了%windir%\system32\jscript.dll的所有者,并拒絕了everyone組對(duì)該文件的訪問(wèn)權(quán)限。
補(bǔ)丁引發(fā)Windows打印服務(wù)
該微軟的安全公告中,微軟稱IE CVE-2020-0674漏洞的補(bǔ)丁會(huì)影響依賴jscript.dll文件的特征。比如,使用代理自動(dòng)配置腳本(PAC腳本)的客戶端配置都會(huì)被影響。而且,應(yīng)用臨時(shí)補(bǔ)丁引發(fā)的問(wèn)題范圍會(huì)原想的要大很多。
由于應(yīng)用了該補(bǔ)丁,許多用戶報(bào)告稱該補(bǔ)丁導(dǎo)致HP打印機(jī)和其他USB打印機(jī)失敗。當(dāng)用戶嘗試打印時(shí),會(huì)接收到I/O錯(cuò)誤消息,打印作業(yè)會(huì)失敗。
除了打印問(wèn)題外,0patch還發(fā)現(xiàn)微軟的臨時(shí)補(bǔ)丁可能會(huì)引發(fā)以下問(wèn)題:
· Windows媒體播放器在播放MP4文件時(shí)會(huì)奔潰;
· Sfc(Resource Checker)在處理修改了權(quán)限的jscript.dll時(shí)會(huì)出現(xiàn)問(wèn)題,sfc是一個(gè)掃描所有受保護(hù)的系統(tǒng)文件完整性和用正確微軟版本替換錯(cuò)誤版本的工具;
· 使用Microsoft Print to PDF打印時(shí)會(huì)奔潰;
· PAC腳本可能無(wú)法正常工作。
如果用戶遇到以上問(wèn)題,可以使用0patch發(fā)布的一個(gè)微補(bǔ)丁,見(jiàn)https://blog.0patch.com/2020/01/micropatching-workaround-for-cve-2020.html
如果用戶不想安裝第三方更新,可以選擇移除已經(jīng)安裝的微軟臨時(shí)補(bǔ)丁,但這會(huì)使得IE瀏覽器處于遠(yuǎn)程攻擊的威脅中。
移除32位操作系統(tǒng)中,在管理員命令窗口中輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
移除64位操作系統(tǒng)中,在管理員命令窗口中輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
如果用戶選擇移除補(bǔ)丁,那么在安裝官方更新前應(yīng)該盡量不使用IE瀏覽器。