究人員發(fā)現(xiàn)Windows MSHTML 0day漏洞利用,微軟發(fā)布預(yù)防措施。
近日,多個(gè)安全研究人員向微軟分別報(bào)告了MSHTML中的一個(gè)0 day遠(yuǎn)程代碼執(zhí)行漏洞。并發(fā)現(xiàn)了該漏洞的在野利用攻擊活動(dòng)。
MSHTML是Windows中用來(lái)渲染web頁(yè)面的軟件組件。雖然主要與IE相關(guān),但也用于其他版本,包括Skype、Outlook、Visual Studio等。
CVE-2021-40444
研究人員在MSHTML中發(fā)現(xiàn)的0 day漏洞CVE編號(hào)為CVE-2021-40444,cvss評(píng)分為8.8分。由于MSHTML 是IE的核心之一,該漏洞也存在于IE瀏覽器中。攻擊依賴于受害者打開一個(gè)惡意office文件時(shí),MSHTML加載一個(gè)精心偽造的ActiveX控件。加載的ActiveX 控件可以運(yùn)行任意代碼來(lái)感染系統(tǒng)。所以攻擊者需要誘使受害者打開惡意文檔。由于沒有發(fā)布補(bǔ)丁,關(guān)于漏洞的更多技術(shù)細(xì)節(jié)尚未公開。
修復(fù)措施
目前,所有支持的Windows版本都受到該漏洞的影響,而且微軟發(fā)現(xiàn)有利于該漏洞的在野攻擊,但目前還沒有補(bǔ)丁,因此微軟提出多種方法來(lái)攔截相關(guān)的攻擊活動(dòng)。
?通過(guò)注冊(cè)表禁用所有ActiveX 控件的安裝。之前安裝的ActiveX 控件仍然可以運(yùn)行,但是不會(huì)再新增控件。禁用ActiveX 控件的方式如下,復(fù)制一下內(nèi)容到文本文件中,并保存為.reg文件擴(kuò)展:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
?雙擊.reg文件并應(yīng)用到策略庫(kù)中;
?重啟系統(tǒng)來(lái)確保新配置生效。
?從IE保護(hù)視圖或office應(yīng)用保護(hù)功能打開文檔,這兩種方式都是默認(rèn)設(shè)置,且都可以預(yù)防該攻擊,但默認(rèn)設(shè)置可能被修改了。
覽器對(duì)于手機(jī)、電腦都是必不可少的軟件;
而在電腦上最經(jīng)典最著名的瀏覽器 IE 肯定榜上有名。
IE 作為微軟內(nèi)置預(yù)設(shè)瀏覽器,應(yīng)該是許多小伙伴瀏覽器領(lǐng)域里的“初戀”吧。
但至于結(jié)果嘛,幾乎所有人都拋棄了這個(gè)“初戀”,因?yàn)橥饷娴摹笆澜纭碧篮昧恕?/span>
而就在剛剛,微軟決定把最后一顆釘子釘在 IE 瀏覽器的棺材上,于是在官方技術(shù)論壇中宣布:
將于 2022 年 6 月 15 日刪除個(gè)人版 Win10 中的 Internet Explorer(IE)瀏覽器。
而由于企業(yè)需要,LTSC 長(zhǎng)期服務(wù)版 Win10 將繼續(xù)保留。
既然如此,那我們今天就一起來(lái)回顧下這位 IE “初戀”的風(fēng)光史吧~
時(shí)間回到 25 年前:1995 年 8 月 16 號(hào),微軟發(fā)布了 IE 1.0。
首次發(fā)布時(shí)它只是一款額外收費(fèi)的軟件包,售價(jià) 49 美元,并不集成在 Windows 系統(tǒng)里
但因?yàn)榻Y(jié)構(gòu)簡(jiǎn)陋,體積不到 1MB,除了上網(wǎng)外并不能做太多事情;
而且網(wǎng)頁(yè)上動(dòng)態(tài)內(nèi)容的處理也很糟糕,用戶體驗(yàn)很差;
明顯是弱于當(dāng)時(shí)如日中天的 Netscape 網(wǎng)景瀏覽器~
左 IE 1.0,右網(wǎng)景 1.0
IE 2.0 版本也是一個(gè)類似的產(chǎn)品,我們稱之為“發(fā)球下網(wǎng)”,進(jìn)步幅度非常少;
而真正迎來(lái)具變的是 IE 3.0,首先標(biāo)識(shí)被替換為我們大家熟知的藍(lán)色“e”。
而且在這個(gè)新版本里圖像能力也引來(lái)升級(jí):開始支持 CSS,并加入 ActiveX 控件和 JavaApplet;
這使得它能顯示 GIF 和 JPEG 格式 圖片文件,支持 MIDI 文件播放。
簡(jiǎn)單點(diǎn)說(shuō),就是這樣的升級(jí)讓網(wǎng)頁(yè)更生動(dòng)有趣,也正是從這開始,IE 開始受到更多人的歡迎~
只不過(guò)它依然只是在系統(tǒng)里提供選擇安裝,并不是內(nèi)置形式。
接下來(lái)發(fā)布的 IE 4.0 更是進(jìn)一步擴(kuò)大自己的優(yōu)勢(shì):
正是從 IE 4.0 開始,它徹底集成在 Windows 系統(tǒng)并作為默認(rèn)瀏覽器。
當(dāng)然啦,IE 4.0 的大熱除了剛好碰上 Windows 98 的盛行外,同時(shí)也離不開自身的強(qiáng)大。
首先在 IE 4.0 上,它終于擁有了自己的排版引擎 Trident(簡(jiǎn)稱 IE 內(nèi)核);
正是因?yàn)檫@個(gè)內(nèi)核,讓 IE4.0 相比當(dāng)時(shí)的瀏覽器啟動(dòng)更快。
不僅如此,IE4 支持當(dāng)時(shí)幾乎所有的網(wǎng)頁(yè)技術(shù),使得網(wǎng)頁(yè)顯示更全面。
這樣用戶的體驗(yàn)與選擇更靈活豐富了,這使得在第一次瀏覽器大戰(zhàn)中 IE 大獲全勝。
而網(wǎng)景公司及 Netscape Navigator 瀏覽器徹底退出主流市場(chǎng)。
而往后的 IE 6.0,可以說(shuō)是 IE 系列上一個(gè)里程碑式的版本:
網(wǎng)頁(yè)開發(fā)技術(shù)的大大提高。讓當(dāng)時(shí)的網(wǎng)頁(yè)更加多樣化、豐富化。
而且在系統(tǒng)安全性和運(yùn)行速度上有很大升級(jí)。同時(shí) IE 6.0 添加了阻止網(wǎng)頁(yè)彈窗功能。
最主要是那年一起來(lái)的還有 Windows XP 系統(tǒng),這玩意估計(jì)現(xiàn)在還有不少電腦還在用,足以見其強(qiáng)大的影響力。
但可能是因?yàn)?Windows XP+IE 6.0 這套組合拳太強(qiáng)大,讓微軟過(guò)于自信;
以致于微軟在發(fā)布 IE 6.0 后 5 年內(nèi)沒有為其進(jìn)行功能修正或升級(jí)版本。
于是 IE 6.0 各種問(wèn)題都沒能得到及時(shí)修正,并隨著火狐、谷歌、Safari、Opera 瀏覽器等強(qiáng)敵的出現(xiàn)。
IE 多年打下的江山終于被瘋狂侵蝕,在 2013 年底:IE 11 被自家新王 Edge 成功取代。
時(shí)間再回到現(xiàn)在,從以上的歷史可以看出,曾靜全球第一的 IE 瀏覽器到眾人皆吐的下場(chǎng);
純粹是自己不思進(jìn)取造成的......
現(xiàn)在大家對(duì) IE 的看法應(yīng)該都是:又卡、又慢、功能少、界面丑、時(shí)不時(shí)崩潰。
還有不少讓人頭疼的妖術(shù),例如這種影分身?!
所以,對(duì)于這般騷氣的 IE 瀏覽器,如今應(yīng)該沒有人還在使用了吧,哦,不對(duì):
還是有些政務(wù)部門、網(wǎng)上銀行、考試網(wǎng)站,或者學(xué)校的教務(wù)系統(tǒng)依然深愛著 IE……
如果 IE 真退役了,這些網(wǎng)站明顯是最受影響的,而且國(guó)內(nèi)很多網(wǎng)站還在堅(jiān)持用 Flash...
這...難不成還能來(lái)個(gè)國(guó)內(nèi)特供版 IE?
我只能說(shuō),對(duì)于這樣一個(gè)“人老珠黃”的瀏覽器,你們?yōu)楹慰偛豢戏攀帜兀?/span>
外面“年輕漂亮”的 Chrome、Edge 瀏覽器難道不香嘛?!
希望這些網(wǎng)站趕緊革新吧,這不僅對(duì)用戶友好,能提升使用體驗(yàn)~
而且對(duì)不少網(wǎng)站開發(fā)者、程序員而言也是一件大好事呀,工作效率將會(huì)大大提升。
不過(guò)可能微軟也考慮到了 IE 徹底退役會(huì)對(duì)這些“忠實(shí)粉絲”造成影響。
于是很貼心給咱們留了一個(gè)緩沖期:
它將以 Edge 瀏覽器 IE 模式繼續(xù)工作至 2029 年......
哎,微軟心還是不夠狠呀!
謹(jǐn)防網(wǎng)絡(luò)詐騙
甘州區(qū)青年?yáng)|街小學(xué)四4班
家長(zhǎng):王飛
*請(qǐng)認(rèn)真填寫需求信息,我們會(huì)在24小時(shí)內(nèi)與您取得聯(lián)系。