整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
究人員發現Windows MSHTML 0day漏洞利用,微軟發布預防措施。
近日,多個安全研究人員向微軟分別報告了MSHTML中的一個0 day遠程代碼執行漏洞。并發現了該漏洞的在野利用攻擊活動。
MSHTML是Windows中用來渲染web頁面的軟件組件。雖然主要與IE相關,但也用于其他版本,包括Skype、Outlook、Visual Studio等。
CVE-2021-40444
研究人員在MSHTML中發現的0 day漏洞CVE編號為CVE-2021-40444,cvss評分為8.8分。由于MSHTML 是IE的核心之一,該漏洞也存在于IE瀏覽器中。攻擊依賴于受害者打開一個惡意office文件時,MSHTML加載一個精心偽造的ActiveX控件。加載的ActiveX 控件可以運行任意代碼來感染系統。所以攻擊者需要誘使受害者打開惡意文檔。由于沒有發布補丁,關于漏洞的更多技術細節尚未公開。
修復措施
目前,所有支持的Windows版本都受到該漏洞的影響,而且微軟發現有利于該漏洞的在野攻擊,但目前還沒有補丁,因此微軟提出多種方法來攔截相關的攻擊活動。
?通過注冊表禁用所有ActiveX 控件的安裝。之前安裝的ActiveX 控件仍然可以運行,但是不會再新增控件。禁用ActiveX 控件的方式如下,復制一下內容到文本文件中,并保存為.reg文件擴展:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003?雙擊.reg文件并應用到策略庫中;
?重啟系統來確保新配置生效。
?從IE保護視圖或office應用保護功能打開文檔,這兩種方式都是默認設置,且都可以預防該攻擊,但默認設置可能被修改了。
覽器對于手機、電腦都是必不可少的軟件;
而在電腦上最經典最著名的瀏覽器 IE 肯定榜上有名。
IE 作為微軟內置預設瀏覽器,應該是許多小伙伴瀏覽器領域里的“初戀”吧。
但至于結果嘛,幾乎所有人都拋棄了這個“初戀”,因為外面的“世界”太美好了。
而就在剛剛,微軟決定把最后一顆釘子釘在 IE 瀏覽器的棺材上,于是在官方技術論壇中宣布:
將于 2022 年 6 月 15 日刪除個人版 Win10 中的 Internet Explorer(IE)瀏覽器。
而由于企業需要,LTSC 長期服務版 Win10 將繼續保留。
既然如此,那我們今天就一起來回顧下這位 IE “初戀”的風光史吧~
時間回到 25 年前:1995 年 8 月 16 號,微軟發布了 IE 1.0。
首次發布時它只是一款額外收費的軟件包,售價 49 美元,并不集成在 Windows 系統里
但因為結構簡陋,體積不到 1MB,除了上網外并不能做太多事情;
而且網頁上動態內容的處理也很糟糕,用戶體驗很差;
明顯是弱于當時如日中天的 Netscape 網景瀏覽器~
左 IE 1.0,右網景 1.0
IE 2.0 版本也是一個類似的產品,我們稱之為“發球下網”,進步幅度非常少;
而真正迎來具變的是 IE 3.0,首先標識被替換為我們大家熟知的藍色“e”。
而且在這個新版本里圖像能力也引來升級:開始支持 CSS,并加入 ActiveX 控件和 JavaApplet;
這使得它能顯示 GIF 和 JPEG 格式 圖片文件,支持 MIDI 文件播放。
簡單點說,就是這樣的升級讓網頁更生動有趣,也正是從這開始,IE 開始受到更多人的歡迎~
只不過它依然只是在系統里提供選擇安裝,并不是內置形式。
接下來發布的 IE 4.0 更是進一步擴大自己的優勢:
正是從 IE 4.0 開始,它徹底集成在 Windows 系統并作為默認瀏覽器。
當然啦,IE 4.0 的大熱除了剛好碰上 Windows 98 的盛行外,同時也離不開自身的強大。
首先在 IE 4.0 上,它終于擁有了自己的排版引擎 Trident(簡稱 IE 內核);
正是因為這個內核,讓 IE4.0 相比當時的瀏覽器啟動更快。
不僅如此,IE4 支持當時幾乎所有的網頁技術,使得網頁顯示更全面。
這樣用戶的體驗與選擇更靈活豐富了,這使得在第一次瀏覽器大戰中 IE 大獲全勝。
而網景公司及 Netscape Navigator 瀏覽器徹底退出主流市場。
而往后的 IE 6.0,可以說是 IE 系列上一個里程碑式的版本:
網頁開發技術的大大提高。讓當時的網頁更加多樣化、豐富化。
而且在系統安全性和運行速度上有很大升級。同時 IE 6.0 添加了阻止網頁彈窗功能。
最主要是那年一起來的還有 Windows XP 系統,這玩意估計現在還有不少電腦還在用,足以見其強大的影響力。
但可能是因為 Windows XP+IE 6.0 這套組合拳太強大,讓微軟過于自信;
以致于微軟在發布 IE 6.0 后 5 年內沒有為其進行功能修正或升級版本。
于是 IE 6.0 各種問題都沒能得到及時修正,并隨著火狐、谷歌、Safari、Opera 瀏覽器等強敵的出現。
IE 多年打下的江山終于被瘋狂侵蝕,在 2013 年底:IE 11 被自家新王 Edge 成功取代。
時間再回到現在,從以上的歷史可以看出,曾靜全球第一的 IE 瀏覽器到眾人皆吐的下場;
純粹是自己不思進取造成的......
現在大家對 IE 的看法應該都是:又卡、又慢、功能少、界面丑、時不時崩潰。
還有不少讓人頭疼的妖術,例如這種影分身?!
所以,對于這般騷氣的 IE 瀏覽器,如今應該沒有人還在使用了吧,哦,不對:
還是有些政務部門、網上銀行、考試網站,或者學校的教務系統依然深愛著 IE……
如果 IE 真退役了,這些網站明顯是最受影響的,而且國內很多網站還在堅持用 Flash...
這...難不成還能來個國內特供版 IE?
我只能說,對于這樣一個“人老珠黃”的瀏覽器,你們為何總不肯放手呢?
外面“年輕漂亮”的 Chrome、Edge 瀏覽器難道不香嘛?!
希望這些網站趕緊革新吧,這不僅對用戶友好,能提升使用體驗~
而且對不少網站開發者、程序員而言也是一件大好事呀,工作效率將會大大提升。
不過可能微軟也考慮到了 IE 徹底退役會對這些“忠實粉絲”造成影響。
于是很貼心給咱們留了一個緩沖期:
它將以 Edge 瀏覽器 IE 模式繼續工作至 2029 年......
哎,微軟心還是不夠狠呀!
謹防網絡詐騙
甘州區青年東街小學四4班
家長:王飛
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
