微软这次会说话算话吗？Windows JScript 组件被曝 RCE漏洞

翻译：360代码卫士团队

Windows 操作系统的 JScript 组件中存在一个漏洞，可导致攻击者在用户电脑上执行恶意代码。

Telspace Systems 公司的研究员 Dmitri Kaslov 发现了这个漏洞并将其提交至趋势科技的 ZDI 计划。1月，ZDI 专家将问题告知微软，但微软尚未发布补丁。昨天，ZDI 公布了包含一些漏洞技术详情的总结报告。

报告指出，这个漏洞可导致远程攻击者在用户电脑上执行恶意代码。

由于该漏洞影响 JScript 组件（微软自定义的 JavaScript 执行），唯一的条件就是攻击者必须诱骗用户访问一个恶意网页或者在系统上下载并打开恶意 JS 文件（一般经由 Windows Script Host-wscript.exe 执行）。

ZDI 专家解释称，“这个缺陷存在于 JScript 对 Error 对象的处理过程中。攻击者通过在JScript 中执行动作，能够导致某个指针在释放后遭重用。攻击者能利用该漏洞在当前进程下执行代码。”

趋势科技 ZDI 的主管 Brain Gorenc 表示，“由于问题敏感，我们并不想在微软发布修复方案前提到太多的技术详情。”

Gorenc 表示，该漏洞的危险系数并没有听上去的那么高，因为它无法导致系统遭完全攻陷。他指出，这个缺陷仅允许沙箱环境中的代码执行问题。攻击者需要其它利用才能逃离沙箱并在目标系统上执行代码。

这个漏洞的 CVSSv2 评分是6.8，和多数漏洞相比，它算得分比较高的漏洞。

Gorenc 表示，微软正在推出补丁，不过已经超出了 ZDI 的披露策略设置的时间轴。

ZDI 通常在披露缺陷后给予厂商120天的时间发布补丁。从微软恢复的时间轴来看，微软难以复现触发该漏洞的 PoC 代码，从而花费了75%的披露时间轴，导致工程师无法及时赶在5月的补丁星期二测试并发布补丁。

虽然微软并未提供推出补丁的具体时间轴，但微软的一名发言人证实称正在推出修复方案。

Gorenc 表示，ZDI 在披露漏洞之时并未发现漏洞遭利用的情况。因为网上几乎不存在技术详情，因此在微软发布修复方案前很可能还是未遭利用的情况。

目前，ZDI 专家建议用户不要使用依靠 JScript 组件的应用如 IE 浏览器、wscript.exe 等来处理不受信任的 JS 代码或文件。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。