信息來源:4hou
1月17日���,微軟公布了一個影響IE 9/10/11版本的0 day遠(yuǎn)程代碼執(zhí)行漏洞——CVE-2020-0674��,由于確定該 0 day漏洞已有在野利用��,因此微軟發(fā)布了一個歷史補(bǔ)丁�����。但該補(bǔ)丁在Windows上引發(fā)了很多問題,包括影響部分Windows用戶的打印服務(wù)��。
更多關(guān)于CVE-2020-0674: IE 0 day漏洞的詳情參見:https://www.4hou.com/posts/J7Mv
為利用該漏洞���,攻擊者需要創(chuàng)建一個精心設(shè)計的網(wǎng)站����,當(dāng)用戶用IE瀏覽器訪問該網(wǎng)站時�����,就會在訪問者電腦上遠(yuǎn)程執(zhí)行命令����,而整個過程無需用戶權(quán)限���,用戶也不會知道�����。
由于目前沒有安全更新��,因此微軟發(fā)布了一個臨時補(bǔ)丁�,補(bǔ)丁修改了%windir%\system32\jscript.dll的所有者,并拒絕了everyone組對該文件的訪問權(quán)限����。
補(bǔ)丁引發(fā)Windows打印服務(wù)
該微軟的安全公告中,微軟稱IE CVE-2020-0674漏洞的補(bǔ)丁會影響依賴jscript.dll文件的特征�。比如,使用代理自動配置腳本(PAC腳本)的客戶端配置都會被影響���。而且�����,應(yīng)用臨時補(bǔ)丁引發(fā)的問題范圍會原想的要大很多���。
由于應(yīng)用了該補(bǔ)丁,許多用戶報告稱該補(bǔ)丁導(dǎo)致HP打印機(jī)和其他USB打印機(jī)失敗��。當(dāng)用戶嘗試打印時,會接收到I/O錯誤消息���,打印作業(yè)會失敗����。
除了打印問題外�,0patch還發(fā)現(xiàn)微軟的臨時補(bǔ)丁可能會引發(fā)以下問題:
· Windows媒體播放器在播放MP4文件時會奔潰���;
· Sfc(Resource Checker)在處理修改了權(quán)限的jscript.dll時會出現(xiàn)問題��,sfc是一個掃描所有受保護(hù)的系統(tǒng)文件完整性和用正確微軟版本替換錯誤版本的工具�;
· 使用Microsoft Print to PDF打印時會奔潰�;
· PAC腳本可能無法正常工作。
如果用戶遇到以上問題�����,可以使用0patch發(fā)布的一個微補(bǔ)丁����,見https://blog.0patch.com/2020/01/micropatching-workaround-for-cve-2020.html
如果用戶不想安裝第三方更新�����,可以選擇移除已經(jīng)安裝的微軟臨時補(bǔ)丁�,但這會使得IE瀏覽器處于遠(yuǎn)程攻擊的威脅中。
移除32位操作系統(tǒng)中��,在管理員命令窗口中輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
移除64位操作系統(tǒng)中,在管理員命令窗口中輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
如果用戶選擇移除補(bǔ)丁����,那么在安裝官方更新前應(yīng)該盡量不使用IE瀏覽器�����。
