安全研究

安全漏洞
Microsoft VBScript/JScript ASLR安全限制绕过漏洞(CVE-2015-1686)(MS15-053)

发布日期:2015-05-12
更新日期:2015-05-14

受影响系统:
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows Server 2003
Microsoft JScript 5.8
Microsoft JScript 5.7
Microsoft JScript 5.6
Microsoft VBScript 5.8
Microsoft VBScript 5.7
Microsoft VBScript 5.6
描述:
BUGTRAQ  ID: 74530
CVE(CAN) ID: CVE-2015-1686

Visual Basic脚本语言,它是一种微软环境下的轻量级的解释型语言。JScript是由微软公司开发的活动脚本语言,是微软对ECMAScript规范的实现。

Microsoft VBScript及JScript引擎使用ASLR安全功能失败后,在实现上存在安全功能绕过漏洞,攻击者利用此漏洞可更准确地预测指定调用栈特定指令的内存偏移。

<*来源:Bill Finlayson (bill@accensussecurity.com
  
  链接:http://technet.microsoft.com/security/bulletin/MS15-053
*>

建议:
临时解决方法:

* 限制访问VBScript.dll

厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS15-053)以及相应补丁:
MS15-053:Vulnerabilities in JScript and VBScript Scripting Engines Could  Allow Security Feature Bypass
链接:http://technet.microsoft.com/security/bulletin/MS15-053

浏览次数:1787
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障