微软在零日攻击后限制 Edge 浏览器中的 IE 模式访问权限

HackerNews 编译，转载请注明出处： 微软发现黑客利用 Chakra JavaScript 引擎中的零日漏洞获取目标设备访问权限后，决定限制 Edge 浏览器中 “Internet Explorer（IE）模式” 的访问权限。 这家科技巨头未披露过多技术细节，但表示攻击者将 “社会工程学手段” 与 “Chakra 引擎漏洞利用” 相结合，实现了远程代码执行（Remote Code Execution，RCE）。 微软 Edge 安全团队负责人加雷斯・埃文斯表示：“Edge 安全团队近期收到情报显示，威胁攻击者正滥用 Edge 浏览器中的 IE 模式，非法访问毫无防备的用户设备。” 尽管 Internet Explorer 已于 2022 年 6 月 15 日终止支持，但微软 Edge 浏览器仍保留了 “IE 模式”—— 这一模式用于兼容部分仍在使用的老旧技术（如 ActiveX 控件、Flash 插件），此类技术常见于少量企业应用程序及政府门户网站。 今年 8 月，Edge 安全团队发现，攻击者会引导目标用户访问 “伪装成官方网站的虚假站点”，并通过页面中的交互元素，诱骗用户以 IE 模式加载该页面。 在利用 Chakra 引擎的零日漏洞后，攻击者会进一步利用第二个漏洞提升权限、突破浏览器沙箱限制，最终完全控制受害者设备。 埃文斯未提供被利用漏洞的标识信息，并明确表示 Chakra 引擎中的该零日漏洞尚未修复。 为降低风险，微软移除了 Edge 浏览器中 “便捷激活 IE 模式” 的方式，包括：专用工具栏按钮、右键上下文菜单选项、顶部 三点菜单中的入口。 现在，用户若需启用 IE 模式，必须手动导航至 “设置（Settings）> 默认浏览器（Default Browser）> 允许（Allow）”，并手动指定需要以 IE 模式加载的网页地址。 此次权限限制的核心目标，是让 “激活 IE 模式” 成为用户的主动、有意识操作；此外，通过 “仅允许列表内网站使用 IE 模式” 的机制，大幅增加攻击者通过该途径成功入侵的难度。 需要注意的是，这些限制不适用于商业用户—— 企业用户仍可通过 “企业策略配置” 正常使用 IE 模式。 不过微软仍提醒所有用户：应尽快从 Internet Explorer 的老旧网页技术迁移至现代产品。现代产品不仅安全性更高、稳定性更强，还具备更优的性能表现。   消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文