微软发现黑客利用 Chakra JavaScript 引擎中的零日漏洞获取目标设备访问权限后,决定限制 Edge 浏览器中 “Internet Explorer(IE)模式” 的访问权限。
这家科技巨头未披露过多技术细节,但表示攻击者将 “社会工程学手段” 与 “Chakra 引擎漏洞利用” 相结合,实现了远程代码执行(Remote Code Execution,RCE)。
微软 Edge 安全团队负责人加雷斯・埃文斯表示:“Edge 安全团队近期收到情报显示,威胁攻击者正滥用 Edge 浏览器中的 IE 模式,非法访问毫无防备的用户设备。”
尽管 Internet Explorer 已于 2022 年 6 月 15 日终止支持,但微软 Edge 浏览器仍保留了 “IE 模式”—— 这一模式用于兼容部分仍在使用的老旧技术(如 ActiveX 控件、Flash 插件),此类技术常见于少量企业应用程序及政府门户网站。
今年 8 月,Edge 安全团队发现,攻击者会引导目标用户访问 “伪装成官方网站的虚假站点”,并通过页面中的交互元素,诱骗用户以 IE 模式加载该页面。
在利用 Chakra 引擎的零日漏洞后,攻击者会进一步利用第二个漏洞提升权限、突破浏览器沙箱限制,最终完全控制受害者设备。
埃文斯未提供被利用漏洞的标识信息,并明确表示 Chakra 引擎中的该零日漏洞尚未修复。
为降低风险,微软移除了 Edge 浏览器中 “便捷激活 IE 模式” 的方式,包括:专用工具栏按钮、右键上下文菜单选项、顶部 三点菜单中的入口。
现在,用户若需启用 IE 模式,必须手动导航至 “设置(Settings)> 默认浏览器(Default Browser)> 允许(Allow)”,并手动指定需要以 IE 模式加载的网页地址。
此次权限限制的核心目标,是让 “激活 IE 模式” 成为用户的主动、有意识操作;此外,通过 “仅允许列表内网站使用 IE 模式” 的机制,大幅增加攻击者通过该途径成功入侵的难度。
需要注意的是,这些限制不适用于商业用户—— 企业用户仍可通过 “企业策略配置” 正常使用 IE 模式。
不过微软仍提醒所有用户:应尽快从 Internet Explorer 的老旧网页技术迁移至现代产品。现代产品不仅安全性更高、稳定性更强,还具备更优的性能表现。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容