कई तकनीकी विशेषज्ञ की तरह, मैंने हाल ही में इंटरनेट एक्सप्लोरर विरासत स्क्रिप्टिंग इंजन (jscript.dll) में एक नई महत्वपूर्ण भेद्यता पर सलाह दी है, और इसका सक्रिय रूप से शोषण कैसे किया जा रहा है। यह अपने आप हो सकता है, ठीक है। लेकिन जिस चीज ने मुझे नाराज किया वह वेब के चारों ओर निराशा और कयामत का पूर्वाभास था। ज्यादातर घबराहट, इस समस्या का विश्लेषण करने की कोशिश करने पर बहुत कम ध्यान देने के साथ, और देखें कि क्या इसे सुरुचिपूर्ण तरीके से कम किया जा सकता है।
वास्तव में, माइक्रोसॉफ्ट ने वर्कअराउंड सूचीबद्ध किया है - आप प्रभावित पुस्तकालय तक पहुंच से इंकार कर सकते हैं। लेकिन इससे साइड इफेक्ट भी होते हैं। आपको प्रिंटिंग, समूह नीति संपादक तक पहुंच और कुछ अन्य समस्याओं में समस्याएँ दिखाई दे सकती हैं। तो मैं बैठ गया और सोचा, क्या वास्तव में सिस्टम को पूरी तरह गड़बड़ किए बिना भेद्यता के प्रभाव को कम करने का कोई तरीका है?
समस्या का दायरा
भेद्यता (इंटरनेट एक्सप्लोरर) स्क्रिप्टिंग इंजन में मौजूद है। इसका मतलब है कि कोई भी प्रोग्राम जो इस इंजन पर कॉल करता है, संभावित रूप से स्मृति भ्रष्टाचार को ट्रिगर कर सकता है, और संभावित रूप से कोड के मनमाने ढंग से निष्पादन का कारण बन सकता है। प्रचलित रूप से, इसका अर्थ है इंटरनेट एक्सप्लोरर, संभवतः माइक्रोसॉफ्ट ऑफिस, और शायद कुछ अजीब विरासत अनुप्रयोग, जो सामान्य घरेलू वातावरण में पाए जाने की संभावना नहीं है।
समाधान इंटरनेट एक्सप्लोरर नहीं चलाना है - और अन्य कार्यक्रमों में अजीब फाइलें या लिंक खोलने से बचें। अब, यह हमेशा सच होता है, भले ही। समस्या यह है कि क्या होगा यदि आप "दुर्घटनावश" एक ऐसे पृष्ठ के विरुद्ध इंटरनेट एक्सप्लोरर खोलते हैं जो इस भेद्यता को ट्रिगर कर सकता है?
इंटरनेट एक्सप्लोरर न चलायें
विंडोज़ के पास कुछ अनुप्रयोगों को लंबे समय तक अस्वीकार करने का विकल्प होता है। यह रजिस्ट्री या समूह नीति संपादक (प्रो संस्करण उपयोगकर्ताओं के लिए) के माध्यम से लागू किया जा सकता है, और सूचीबद्ध कार्यक्रमों को चलने से रोकेगा। विशेष रूप से, gpedit.msc लॉन्च करें, उपयोगकर्ता कॉन्फ़िगरेशन> सिस्टम पर जाएं, और फिर वह नीति खोलें जिसमें लिखा हो:निर्दिष्ट विंडोज़ एप्लिकेशन न चलाएं।
नीति को सक्षम करें। और फिर, विकल्प के तहत:, दिखाएँ पर क्लिक करें और अस्वीकृत अनुप्रयोगों की सूची में iexplore.exe जोड़ें।
अब, यह विज्ञापित के रूप में काम करता है - लेकिन केवल अगर आप प्रोग्राम लॉन्च करने के लिए विंडोज एक्सप्लोरर या स्टार्ट मेनू का उपयोग करते हैं। यह अन्य तरीकों से पहुंच को अवरुद्ध नहीं करेगा, न ही यह एप्लिकेशन को jscript.dll लाइब्रेरी का उपयोग करने से रोकता है। चिंता मत करो, हम वहां पहुंचेंगे। मैं धीरे-धीरे, रैखिक रूप से प्रगति कर रहा हूं।
इसी प्रकार, एप्लिकेशन जोड़ने के लिए रजिस्ट्री पथ है:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
छवि फ़ाइल निष्पादन विकल्प (IFEO)
हमने GWX संदर्भ में इस सुपर-उपयोगी और शक्तिशाली फीचर के बारे में बात की है। आप इसका उपयोग यह बदलने के लिए कर सकते हैं कि आपके सिस्टम पर कोई भी प्रोग्राम कैसे व्यवहार करता है। मूल रूप से, हम डीबगर कार्यक्षमता का उपयोग करेंगे, और इस प्रकार iexplore.exe के निष्पादन को उसके डिफ़ॉल्ट व्यवहार से खाली cmd शेल चलाने के लिए बदल देंगे। मूल रूप से, एक डमी रन जो कुछ भी नहीं करता है और कोई जावास्क्रिप्ट लाइब्रेरी नहीं करता है।
यह क्या करेगा आपको इंटरनेट एक्सप्लोरर को "रन" करने देगा, लेकिन पूरा रन केवल कमांड प्रॉम्प्ट खोल का एक स्पॉनिंग होगा जो आसानी से बाहर निकलता है। इसका मतलब यह है कि आप चाहे किसी भी तरह से Internet Explorer का उपयोग करें, यह वास्तव में नहीं चलेगा, जिससे jscript.dll लाइब्रेरी के मेमोरी में लोड होने का जोखिम कम हो जाएगा।
अब, कृपया ध्यान दें, यह केवल इंटरनेट एक्सप्लोरर को प्रभावित करता है, और अन्य प्रोग्रामों को लाइब्रेरी का उपयोग करने से नहीं रोकता है, जैसे माइक्रोसॉफ्ट वर्ड एक विकृत एम्बेडेड ऑब्जेक्ट वाला दस्तावेज़ दिखा रहा है जो jscript.dll फ़ंक्शंस का संदर्भ देता है। लेकिन यह लाइब्रेरी के उपयोग के जोखिम को कम करता है, विशेष रूप से इंटरनेट एक्सप्लोरर जैसे नेटवर्क-सक्षम प्रोग्राम द्वारा। Other tools on your system may still require this library, but if they don't necessarily connect to external network resources, then the risks are reduced.
The cool part about IFEO is that it does not require anything beyond setting the registry key. If you want to revert back, just delete the Debugger string, and you will have the old functionality back.
Lastly, if you use anti-malware software, some may see this as a potential IFEO Hijack. Be aware of this fact, and then move on, and perhaps even embrace a smarter way of doing computer security. लेकिन यह विषय फिर कभी।
Let's talk about jscript.dll
Now, my work above does not fix the problem. It works around it by reducing the chance of Internet Explorer running. The proper fix is to update the library. Technically, you could "just" copy the new patched version over the old one, and you're done. But the Windows Update mechanism is a bit more complex.
So the mitigation is to remove the executable permission from the library. You can do it on the command line, as the advisory says, or you can do it using Windows Explorer. The reason for the command line is to take ownership of the (system) library, to be able to change its security settings. Alternatively, you can manipulate the permissions by opening cmd (or explorer) through ExecTI, a utility that lets you run programs with the highest privileges, as I've shown you in my list of must-have Windows admin utilities.
What you want to do is remove the Read &execute checkbox mark for all of the listed groups or users. But then, the side effects! For example, the aforementioned Group Policy editor will not launch correctly if execute is denied for Administrators. This also emphasizes the importance of running as standard user, as you could have no execute for Jscript for Users, and you would still be able to use Internet Explorer then, without any effect on system functionality.
Group Policy Editor with JScript.dll not allowed to execute. Messed-up layout.
But then, since this is all there is to it, you can disable Read &execute, and toggle it when you need it, until you can apply the official patch - provided you actually want to apply it. In some scenarios, you might not want to, or be able to, and you might even have to use Internet Explorer. But this is not likely in the home setup. And I'm not talking enterprise security here. So lower your pitchforks. Finally, you can do the same thing for Internet Explorer - remove the execute permission.
Other things - local scripting
Then, if you do need to use Internet Explorer, you can disable Active Scripting under Internet Options. This is old news really, so I'm not going to focus too much on this here. A more practical thing is to avoid accidentally executing Javascript files stored on your local disk, through the Microsoft Based Script Host. This is the default, even on Windows 10. But in reality, there are very few reasons why you'd need to run Javascript files locally, outside the context of your browser.
What you want to do is create a dummy Javascript file, something like file.js. Right click> Open with, and then select a text editor of some kind (under More apps). This means that even if you do double-click on a locally stored Javascript file, it will open as a text file.
निष्कर्ष
Don't let panic be your compass. Some security problems are serious and require scrutiny. But others are not necessarily as dreadful as they may seem, based on the Internet chatter. In this case, yes, this is not a good thing. On the other hand, not running Internet Explorer pretty much solves it. Also, don't be an n00b and randomly execute files left and right, and you should be fine.
In this article, I tried to give you a somewhat calmer overview of what gives, and the options you have. Most importantly, you can use the fabulous magic of IFEO to prevent Internet Explorer from running, no questions asked. This way, you reduce the risk of nonsense, be it an old game launcher that hard-codes to iexplore.exe for messages or announcements, or your own twitchy fingers. You can also disable the execute permissions for the library, and if your system is set up with a standard user, you might not even need to compromise on reduced functionality due to the disabled library. हम वहाँ चलें। Enjoy your Webz.
चीयर्स।