Microsoft 修補 Internet Explorer 內存損壞漏洞

Microsoft 在其瀏覽器 Internet Explorer 中修復了一個與內存損壞有關的零日安全漏洞。

標記爲 CVE-2021-26411 的此漏洞使攻擊者可以欺騙用戶訪問 Internet Explorer 上託管的特製惡意網站。此外，攻擊者可能會在容許用戶託管內容的網頁上發佈惡意廣告，從而破壞現有網站。儘管攻擊者首先必須使用電子郵件或即時消息誘使用戶參與這些廣告和網站以危害受害者，但潛在的整個 Internet 的惡意行爲者均可以利用此漏洞。

該漏洞使用戶的內容完整性面臨嚴重威脅

因爲該漏洞存在於網絡堆棧中，所以該 CVE 能夠做爲遠程可執行文件使用。此外，攻擊者無需任何特殊的升級特權便可利用此漏洞。一旦證實攻擊成功，攻擊者便有可能修改任何訪問的文件和其餘用戶信息，從而使用戶的內容完整性面臨重大風險。

也許最有趣的是，在這種狀況下，黑客花費了數週的時間專門創建了以安全性研究爲目標的信任。自發現以來，研究人員已將此次襲擊追溯到朝鮮。攻擊者經過原始的研究博客與研究人員聯繫，創建了有效的聯繫，並建立了Twitter角色以請求進行項目合做。虛假的社交媒體資料將提示研究人員訪問網頁。從那裏，即便是徹底修補的 Windows 10 計算機也最終會安裝惡意服務和內存後門，以與攻擊者控制的服務器進行通訊。

除了 Internet Explorer 以外，這個漏洞還影響了微軟更安全的瀏覽器 Edge。此外，研究人員最終發現，攻擊者利用一個欺詐性的 Visual Studio Project 網站來補充他們的「水坑」攻擊，該網站顯然包含一個概念驗證漏洞的源代碼。這個所謂的項目實際上包含了定製的惡意軟件，這些惡意軟件與黑客的控制服務器取得了聯繫。

截至目前，Microsoft 已發佈針對此漏洞的官方修補程序和升級。那些須要當即更新的Microsoft用戶能夠在其系統上訪問「開始」>「設置」>「更新和安全性」>「 Windows Update」。