发布日期：2009-09-08
更新日期：2009-09-09

受影响系统：

Microsoft JScript 5.8
Microsoft JScript 5.7
Microsoft JScript 5.6
Microsoft JScript 5.1

描述：

---

BUGTRAQ  ID: 36224
CVE(CAN) ID: CVE-2009-1920

JScript是一种解释性的基于对象的脚本语言。

JScript脚本引擎（JScript.dll）处理网页中脚本的方式存在远程代码执行漏洞。在解析jscript arguments关键字时，由于arguments对象在某一时间之前不可用，调用该对象可能导致内存破坏。

如果用户打开了特制文件或访问了运行脚本的特制网站，这个漏洞可能允许远程执行指令。

<*来源：wushi （wooshi@gmail.com）
  
  链接：http://secunia.com/advisories/36551/
        http://marc.info/?l=bugtraq&m=125244374006286&w=2
        http://www.microsoft.com/technet/security/bulletin/MS09-045.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA09-251A.html
*>

建议：

---

临时解决方法：

* 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行活动脚本之前进行提示，或禁用活动脚本。
* 将Internet 和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS09-045）以及相应补丁:
MS09-045：Vulnerability in JScript Scripting Engine Could Allow Remote Code Execution (971961)
链接：http://www.microsoft.com/technet/security/bulletin/MS09-045.mspx?pf=true

浏览次数：2797
严重程度：0（网友投票）