就在基于Chromium的Edge浏览器正式上线后,好巧不巧,该软体「前身」的Internet Explorer,又再度被发现资安漏洞,能让骇客远端运行恶意程式码。
微软表示,该Internet Explorer的漏洞被命名为「CVE-2020-0674」,所有Windows版本都会受到影响,包含前几天正式停止支援的Windows 7,IE版本则为Internet Explorer 9到Internet Explorer 11。
另外,微软也确认CVE-2020-0674 漏洞已经遭到骇客利用,但他们并不打算立刻修复。
由于CVE-2020-0674 含有重大资安风险,所以详细内容并没有被公开,只知道漏洞本身与Internet Explorer 处理记忆体空间的方式有关,攻击者将可以利用此漏洞,在受影响的电脑上远端运行恶意程式码,途径则是经由网页搜寻或电子邮件,让使用者点击连结并开启恶意网站后达成。
CVE-2020-0674
据信,CVE-2020-0674 与早些时候 Mozilla 在Firefox 浏览器上找到的漏洞类似。微软与Mozilla 都认为,来自中国的安全研究团队奇虎360,透过主动攻击的方式,找到了这些漏洞。
不过无论奇虎、微软和Mozilla,三方均未说明攻击者要如何利用此漏洞,或者已发动攻击的骇客是谁,以及谁是漏洞攻击的针对对象。值得注意的是,美国电脑紧急应变小组(US-Cert)对外发布了CVE-2020-0674已经遭到利用的相关警告,这或许代表该漏洞有可能危及到了国土安全。
相关警告
微软向国外媒体表示,CVE-2020-0674 漏洞为「有限度的针对性攻击」,官方正在研究修补方式,但不太可能于2 月11 日,即下一轮每月安全性更新前发表解决方案。