ארגון ה-US-CERT (ר”ת United States Computer Emergency Readiness Team) האמריקאי שחרר אזהרה על פרצת יום אפס חמורה שנמצאה פעילה ובשימוש על ידי גורמים זדוניים בדפדפן האינטרנט האקספלורר (Internet Explorer). הפרצה מקבלת את קוד הזיהוי VU#338824 ו-CVE-2020-0674.
רק בשבוע שעבר השיקה החברה רשמית את דפדפן ה-Microsoft Edge החדש, אשר מבוסס על מנוע הכרומיום שהחליף את האדג’ המקורי, ובתורו נועד להחליף את האקספלורר הוותיק של החברה, ואף שניתן לחשוב כי דפדפן האקספלורר של מיקרוסופט איננו נמצא בשימוש נרחב, נכון להיום הוא נמצא עדיין בשימוש על ידי כ~7.42% מהמשתמשים.
פרצת האבטחה מאפשרת לתוקף להריץ קוד זדוני דרך הדפדפן באמצעות מנוע הסקריפטים המוגדר בספריית jscript.dll בעזרת שימוש באתר אינטרנט “תמים” שיגרום להרצת הקוד הזדוני בזיכרון המחשב במידה והמשתמש נכנס לאתר, וזאת מבלי שהוא צריך לבצע פעולה נוספת או להוריד קבצים למחשב בפועל.
VU#338824: Microsoft Internet Explorer Scripting Engine memory corruption vulnerability https://t.co/VAnKfBDdLU
— CISA Cyber (@CISACyber) January 18, 2020
פרצת האבטחה החדשה זוהתה למעשה על ידי חברת האבטחה Qihoo 360 הסינית בשבוע שעבר, כאשר בשלב הראשון היא אותרה בדפדפן פיירפוקס (Firefox). כרגע מתברר שפרצה דומה נמצאת גם בדפדפן האקספלורר בגרסאות ה-9, 10 ו-11 ומשפיעה על כלל מערכות הווינדוס בגרסאות 7, 8.1 ו-10.
תיקון זמני לפרצה
בעוד מיקרוסופט עובדת כרגע על תיקון לפרצה החדשה, שוחררו הוראות למניעת הרצה של ה-Jscript.dll בממשק ה-administrative command prompt במערכת ההפעלה:
- מערכות 32 ביט –
- takeown /f %windir%\system32\jscript.dll
- cacls %windir%\system32\jscript.dll /E /P everyone:N
- מערכות 64 ביט –
- takeown /f %windir%\syswow64\jscript.dll
- cacls %windir%\syswow64\jscript.dll /E /P everyone:N
- takeown /f %windir%\system32\jscript.dll
- cacls %windir%\system32\jscript.dll /E /P everyone:N
לאחר שיצא תיקון מסודר לפרצה אפשר יהיה לבטל את השינוי בעזרת הפקודות הבאות:
- מערכות 32 ביט –
- cacls %windir%\system32\jscript.dll /E /R everyone
- מערכות 64 ביט –
- cacls %windir%\system32\jscript.dll /E /R everyone
- cacls %windir%\syswow64\jscript.dll /E /R everyone
