W ubiegłym tygodniu Windows 7 utracił wsparcie, a razem z nim również Internet Explorer 11 dla tego systemu. Microsoft zaleca jego użytkownikom przesiadkę na Microsoft Edge, który działa również w Windows 7. W międzyczasie pojawiły się informacje o poważnej podatności w IE, przed którą ostrzegał nawet Departament Bezpieczeństwa Krajowego USA. Podatność czeka na załatanie przez Microsoft, ale mikrołatkę zdążył już dostarczyć ktoś inny.
Podatność CVE-2020-0674 obejmuje IE w wersjach 9-11 i dotyczy sposobu, w jaki aparatu skryptów obsługuje obiekty w pamięci Internet Explorera. Atakujący może dzięki niej działać na uprawnieniach użytkownika (w tym administratora). Exploit działa po wejściu na specjalnie przygotowaną stronę. Microsoft objaśnił sposoby zabezpieczenia się już teraz poprzez blokadę dostępu do JScript.dll i można z niego skorzystać, nim ukaże się oficjalna łatka. Nastąpi to jednak dopiero 11 lutego, czyli w najbliższy Patch Tuesday. Powinna ona dotrzeć do wszystkich wspieranych wersji Windows, czyli 8.1 i 10, ale już nie do Siódemki. Z pomocą przychodzi mikrołatka wydana przez 0patch.
Ponieważ dostarczony sposób ma wiele negatywnych skutków ubocznych i ponieważ jest prawdopodobne, że użytkownicy Windows 7 i Windows Server 2008 R2 bez Extended Security Updates w ogóle nie dostaną łatki (ich wsparcie skończyło się w tym miesiącu), postanowiliśmy dostarczyć micropatch, który symuluje sposób [zalecany przez Microsoft] bez jego negatywnych skutków ubocznych.
Sposób Microsoftu zawiera zezwolenia ustawień jscript.dll, aby nikt nie mógł ich odczytać. Ma on taki spodziewany negatywny efekt uboczny, że jeśli używasz aplikacji webowej wykorzystującej przestarzały JScript (a takich można używać tylko w Internet Explorer), aplikacja ta nie będzie już działać w twojej przeglądarce.
— 0patch
Inne negatywne skutki tymczasowego rozwiązania Microsoftu to m.in. problemy z plikami mp4 w Windows Media Player, SFC i jscript.dll, drukowaniem PDF i skryptami PAC. Mikrołatka jest dostępna w formatach 32- i 64-bitowym dla systemów Windows 7, Windows 10 v1709, Windows 10 v1803, Windows 10 v1809, Windows Server 2008 R2 i Windows Server 2019.
341f31d.png)