Microsoft 在其浏览器 Internet Explorer 中修复了一个与内存损坏有关的零日安全漏洞。
标记为 CVE-2021-26411 的此漏洞使攻击者能够欺骗用户访问 Internet Explorer 上托管的特制恶意网站。此外,攻击者可能会在允许用户托管内容的网页上发布恶意广告,从而破坏现有网站。尽管攻击者首先必须使用电子邮件或即时消息诱使用户参与这些广告和网站以危害受害者,但潜在的整个 Internet 的恶意行为者都可以利用此漏洞。
该漏洞使用户的内容完整性面临严重威胁
由于该漏洞存在于网络堆栈中,因此该 CVE 可以作为远程可执行文件使用。此外,攻击者无需任何特殊的升级特权即可利用此漏洞。一旦证明攻击成功,攻击者便有可能修改任何访问的文件和其他用户信息,从而使用户的内容完整性面临重大风险。
也许最有趣的是,在这种情况下,黑客花费了数周的时间专门建立了以安全性研究为目标的信任。自发现以来,研究人员已将这次袭击追溯到朝鲜。攻击者通过原始的研究博客与研究人员联系,建立了有效的联系,并创建了Twitter角色以请求进行项目合作。虚假的社交媒体资料将提示研究人员访问网页。从那里,即使是完全修补的 Windows 10 计算机也最终会安装恶意服务和内存后门,以与攻击者控制的服务器进行通信。
除了 Internet Explorer 之外,这个漏洞还影响了微软更安全的浏览器 Edge。此外,研究人员最终发现,攻击者利用一个欺诈性的 Visual Studio Project 网站来补充他们的“水坑”攻击,该网站显然包含一个概念验证漏洞的源代码。这个所谓的项目实际上包含了定制的恶意软件,这些恶意软件与黑客的控制服务器取得了联系。
截至目前,Microsoft 已发布针对此漏洞的官方修补程序和升级。那些需要立即更新的Microsoft用户可以在其系统上访问“开始”>“设置”>“更新和安全性”>“ Windows Update”。
本文转自网络,版权归原作者所有,原文链接:https://segmentfault.com/a/1190000039402630
相关文章
精彩导读
热门资讯