信息來源:4hou
1月17日���,微軟公布了一個影響IE 9/10/11版本的0 day遠程代碼執(zhí)行漏洞——CVE-2020-0674��,由于確定該 0 day漏洞已有在野利用����,因此微軟發(fā)布了一個歷史補丁�。但該補丁在Windows上引發(fā)了很多問題�,包括影響部分Windows用戶的打印服務。
更多關于CVE-2020-0674: IE 0 day漏洞的詳情參見:https://www.4hou.com/posts/J7Mv
為利用該漏洞���,攻擊者需要創(chuàng)建一個精心設計的網站����,當用戶用IE瀏覽器訪問該網站時����,就會在訪問者電腦上遠程執(zhí)行命令,而整個過程無需用戶權限�,用戶也不會知道。
由于目前沒有安全更新��,因此微軟發(fā)布了一個臨時補丁��,補丁修改了%windir%\system32\jscript.dll的所有者��,并拒絕了everyone組對該文件的訪問權限�����。
補丁引發(fā)Windows打印服務
該微軟的安全公告中�,微軟稱IE CVE-2020-0674漏洞的補丁會影響依賴jscript.dll文件的特征。比如�����,使用代理自動配置腳本(PAC腳本)的客戶端配置都會被影響���。而且�����,應用臨時補丁引發(fā)的問題范圍會原想的要大很多����。
由于應用了該補丁�,許多用戶報告稱該補丁導致HP打印機和其他USB打印機失敗。當用戶嘗試打印時�,會接收到I/O錯誤消息,打印作業(yè)會失敗�����。
除了打印問題外�����,0patch還發(fā)現(xiàn)微軟的臨時補丁可能會引發(fā)以下問題:
· Windows媒體播放器在播放MP4文件時會奔潰;
· Sfc(Resource Checker)在處理修改了權限的jscript.dll時會出現(xiàn)問題��,sfc是一個掃描所有受保護的系統(tǒng)文件完整性和用正確微軟版本替換錯誤版本的工具��;
· 使用Microsoft Print to PDF打印時會奔潰�;
· PAC腳本可能無法正常工作。
如果用戶遇到以上問題��,可以使用0patch發(fā)布的一個微補丁�,見https://blog.0patch.com/2020/01/micropatching-workaround-for-cve-2020.html
如果用戶不想安裝第三方更新,可以選擇移除已經安裝的微軟臨時補丁��,但這會使得IE瀏覽器處于遠程攻擊的威脅中���。
移除32位操作系統(tǒng)中����,在管理員命令窗口中輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
移除64位操作系統(tǒng)中����,在管理員命令窗口中輸入以下命令:
cacls %windir%\system32\jscript.dll /E /R everyone
cacls %windir%\syswow64\jscript.dll /E /R everyone
如果用戶選擇移除補丁,那么在安裝官方更新前應該盡量不使用IE瀏覽器���。
