В этом месяце разработчики компании Microsoft добавили в Windows новую функцию, которая позволяет системным администраторам отключать компонент JScript в Internet Explorer.
Напомню, что скриптовый движок JScript — это старый компонент, изначально добавленный в Internet Explorer 3.0 в далеком 1996 году и представлявший собой собственную вариацию Microsoft для стандарта ECMAScript. Разработка JScript давно была прекращена, и в 2009 году, с релизом Internet Explorer 8.0, компонент был объявлен устаревшим, однако сам движок по-прежнему присутствует во всех версиях Windows как legacy-компонент.
Уже давно злоумышленники осознали, что могут использовать JScript в своих атаках, так как Microsoft крайне редко выпускает для него обновления безопасности (как правило, лишь после активных хакерских атак). К примеру, уязвимости CVE-2018-8653, CVE-2019-1367, CVE-2019-1429 и CVE-2020-0674 — это лишь некоторые из 0-day багов в JScript, с которыми инженерам Microsoft пришлось столкнуться за последние три года.
Все перечисленные уязвимости использовались серьезными хакерским коллективами и правительственными хак-группами, и Microsoft пришлось торопиться с выпуском срочных патчей (1, 2). Однако после выхода исправлений PoC-эксплоиты были свободно опубликован на GitHub, как это и бывает обычно, и уязвимости быстро пополнили арсенал разработчиков наборов эксплоитов (1, 2).
В итоге, спустя 11 лет после прекращения поддержки JScript, Microsoft наконец решила позволить системным администраторам отключать выполнение JScript по умолчанию. В составе октябрьских патчей были представлены новые ключи реестра, которые администраторы могут использовать для блокировки выполнения кода файлом jscript.dll.
Подробные инструкции о том, как это сделать, можно найти в документации Microsoft.