信息來(lái)源:4hou
1月17日,微軟公布了一個(gè)影響IE 9/10/11版本的0 day遠(yuǎn)程代碼執(zhí)行漏洞——CVE-2020-0674�����,由于確定該 0 day漏洞已有在野利用�����,因此微軟發(fā)布了一個(gè)歷史補(bǔ)丁�����。但該補(bǔ)丁在Windows上引發(fā)了很多問(wèn)題�����,包括影響部分Windows用戶的打印服務(wù)�����。
更多關(guān)于CVE-2020-0674: IE 0 day漏洞的詳情參見(jiàn):https://www.4hou.com/posts/J7Mv
為利用該漏洞�����,攻擊者需要?jiǎng)?chuàng)建一個(gè)精心設(shè)計(jì)的網(wǎng)站�����,當(dāng)用戶用IE瀏覽器訪問(wèn)該網(wǎng)站時(shí)�����,就會(huì)在訪問(wèn)者電腦上遠(yuǎn)程執(zhí)行命令�����,而整個(gè)過(guò)程無(wú)需用戶權(quán)限����,用戶也不會(huì)知道。
由于目前沒(méi)有安全更新����,因此微軟發(fā)布了一個(gè)臨時(shí)補(bǔ)丁,補(bǔ)丁修改了%windir%\system32\jscript.dll的所有者����,并拒絕了everyone組對(duì)該文件的訪問(wèn)權(quán)限。
補(bǔ)丁引發(fā)Windows打印服務(wù)
該微軟的安全公告中,微軟稱IE CVE-2020-0674漏洞的補(bǔ)丁會(huì)影響依賴jscript.dll文件的特征�����。比如�����,使用代理自動(dòng)配置腳本(PAC腳本)的客戶端配置都會(huì)被影響�����。而且����,應(yīng)用臨時(shí)補(bǔ)丁引發(fā)的問(wèn)題范圍會(huì)原想的要大很多����。
由于應(yīng)用了該補(bǔ)丁,許多用戶報(bào)告稱該補(bǔ)丁導(dǎo)致HP打印機(jī)和其他USB打印機(jī)失敗����。當(dāng)用戶嘗試打印時(shí),會(huì)接收到I/O錯(cuò)誤消息�����,打印作業(yè)會(huì)失敗。
除了打印問(wèn)題外����,0patch還發(fā)現(xiàn)微軟的臨時(shí)補(bǔ)丁可能會(huì)引發(fā)以下問(wèn)題:
· Windows媒體播放器在播放MP4文件時(shí)會(huì)奔潰;
· Sfc(Resource Checker)在處理修改了權(quán)限的jscript.dll時(shí)會(huì)出現(xiàn)問(wèn)題�����,sfc是一個(gè)掃描所有受保護(hù)的系統(tǒng)文件完整性和用正確微軟版本替換錯(cuò)誤版本的工具�����;
· 使用Microsoft Print to PDF打印時(shí)會(huì)奔潰����;
· PAC腳本可能無(wú)法正常工作。
如果用戶遇到以上問(wèn)題�����,可以使用0patch發(fā)布的一個(gè)微補(bǔ)丁�����,見(jiàn)https://blog.0patch.com/2020/01/micropatching-workaround-for-cve-2020.html
如果用戶不想安裝第三方更新,可以選擇移除已經(jīng)安裝的微軟臨時(shí)補(bǔ)丁����,但這會(huì)使得IE瀏覽器處于遠(yuǎn)程攻擊的威脅中。
移除32位操作系統(tǒng)中�����,在管理員命令窗口中輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
移除64位操作系統(tǒng)中�����,在管理員命令窗口中輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
如果用戶選擇移除補(bǔ)丁����,那么在安裝官方更新前應(yīng)該盡量不使用IE瀏覽器����。
