Microsoft VBScript/JScript ASLR安全限制绕过漏洞(CVE-2015-1686)

当前位置：首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

发表日期：2015-05-18 10:15:28

Microsoft VBScript/JScript ASLR安全限制绕过漏洞(CVE-2015-1686)(MS15-053)

BugTraq-ID:74530

CVE-ID:CVE-2015-1686

发布日期：2015-05-12

更新日期：2015-05-14

受影响系统：

Microsoft Windows Vista

Microsoft Windows Server 2008

Microsoft Windows Server 2003

Microsoft JScript 5.8

Microsoft JScript 5.7

Microsoft JScript 5.6

Microsoft VBScript 5.8

Microsoft VBScript 5.7

Microsoft VBScript 5.6

详细信息：

Visual Basic脚本语言，它是一种微软环境下的轻量级的解释型语言。JScript是由微软公司开发的活动脚本语言，是微软对ECMAScript规范的实现。

Microsoft VBScript及JScript引擎使用ASLR安全功能失败后，在实现上存在安全功能绕过漏洞，攻击者利用此漏洞可更准确地预测指定调用栈特定指令的内存偏移。

来源：

Bill Finlayson （bill@accensussecurity.com）

参考信息：

http://technet.microsoft.com/security/bulletin/MS15-053

解决办法：

临时解决方法：

* 限制访问VBScript.dll

厂商补丁：

Microsoft

---------

Microsoft已经为此发布了一个安全公告（MS15-053）以及相应补丁:

MS15-053：Vulnerabilities in JScript and VBScript Scripting Engines Could Allow Security Feature Bypass

链接：http://technet.microsoft.com/security/bulletin/MS15-053

■服务概述