信息來源：hackernews

周一，微軟向用戶警告廣受歡迎的 Internet Explorer 存在一個(gè)高危的漏洞，攻擊者利用此漏洞可以接管你的計(jì)算機(jī)，進(jìn)而在你的電腦安裝和卸載程序，查看、更改或刪除數(shù)據(jù)，甚至創(chuàng)建具有完全用戶權(quán)限的新帳戶。

根據(jù)微軟發(fā)布的安全公告，引發(fā)此漏洞的根本原因是腳本引擎(Scripting Engine)在內(nèi)存中處理對(duì)象的方式。具體來說就是，Internet Explorer 中的腳本引擎在內(nèi)存中處理對(duì)象時(shí)存在一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞以這種方式來破壞內(nèi)存，然后攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼。

成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限，如果當(dāng)前用戶使用管理員用戶權(quán)限登錄，則攻擊者可以控制受影響的系統(tǒng)。然后攻擊者會(huì)在你的電腦安裝和卸載程序，查看、更改或刪除數(shù)據(jù)，甚至創(chuàng)建具有完全用戶權(quán)限的新帳戶。

在基于 Web 的攻擊場(chǎng)景中，攻擊者可能擁有一個(gè)旨在通過 Internet Explorer 利用此漏洞的特制網(wǎng)站，然后誘使用戶查看該網(wǎng)站（例如，通過發(fā)送釣魚電子郵件）。

雖然微軟已發(fā)布安全更新，并通過修改腳本引擎處理內(nèi)存中對(duì)象的方式來解決此漏洞。但微軟再次提醒用戶放棄這款已被淘汰的瀏覽器。今年 2 月，微軟的安全研究人員就已敦促用戶停止使用 IE 作為默認(rèn)瀏覽器。后來在四月份的時(shí)候，我們得知，即使僅在計(jì)算機(jī)上安裝 Internet Explorer 甚至不使用它都存在安全風(fēng)險(xiǎn)。