十天前,针对一个新的 IE 远程代码执行漏洞,微软通过 Update Catalogue 发布了修复更新。但是现在,该公司似乎有足够的信心向所有受支持的 Windows 10 版本推送,有需要的用户可直接通过 Windows Update 获取更新。
(图自:Microsoft,via MSPU)
对于该漏洞,微软解释到:
脚本处理引擎与 IE 内存对象的访问方式之间存在一个漏洞,攻击者可借此发起远程代码执行攻击。
攻击者可利用当前用户上下文中的任意代码来破坏内存,得逞后可获得与当前用户相同的系统访问权限。
之后,攻击者可能会在受害系统上安装恶意程序,查看、篡改、删除数据,甚至创建拥有完全用户权限的新账户。
在基于 Web 的攻击情形中,攻击者可能拥有一个专门针对 Internet Explorer 浏览器漏洞的特制网站,然后诱骗用户访问(比如通过钓鱼邮件)。
但在部署了安全更新之后,系统会修改脚本引擎的内存对象访问方式,从而修补这个漏洞。
借此机会,微软还推出了另一个 bug 修复程序,这是由较早的补丁(修复同一 IE 漏洞)导致的打印机问题。
其修复了打印后台处理程序服务的间歇性问题,受影响的用户可能遭遇打印作业失败、甚至导致某些程序报错或关闭(比如 RPC 报错)。
KB4524147 的更新日志还写到:
此安全更新包括了 IE 浏览器脚本引擎安全漏洞(CVE-2019-1367)的缓解措施,并纠正了一些用户最近遇到的打印问题。
解决了安装按需功能(FOD)(如 .Net 3.5)时可能出现‘更改无法完成,请重新启动计算机并重新尝试,错误代码 0x800f0950’的问题。
有需要的 Windows 10 用户,可在“设置”中检查 Windows Update 更新,并等待其自动安装。