Microsoft添加选项以在Internet Explorer中禁用JScript

作为2020年10月修补程序星期二安全更新的一部分，微软向Windows添加了一个新选项，允许系统管理员在Internet Explorer中禁用JScript组件。

JScript脚本引擎是一个旧组件，最初包含在1996年的Internet Explorer 3.0中，是Microsoft自己的ECMAScript标准(JavaScript语言)方言。

JScript引擎的开发已结束，该组件在2009年的Internet Explorer 8.0版本中已弃用，但该引擎在所有Windows操作系统版本中仍作为IE中的传统组件保留。

多年来，威胁参与者意识到他们可以攻击JScript引擎，因为微软并没有积极开发它，而且很少发布安全更新，通常只有在受到威胁参与者攻击时才会发布。

CVE-2018-8653、CVE-2019-1367、CVE-2019-1429和CVE-2020-0674是微软在过去三年中必须处理的最近JScript零日的一部分。

所有这些都是被民族国家行为者利用的漏洞，为此微软不得不匆忙发布补丁[1，2]。一旦打了补丁，概念验证代码也会发布在GitHub上，这些漏洞也很快进入了攻击工具包开发人员的武器库[1，2]。

现在，在弃用该组件11年后，微软终于为系统管理员提供了一种在默认情况下禁用JScript执行的方法。

根据微软的说法，2020年10月的修补程序星期二引入了新的注册表项，系统管理员可以应用这些注册表项，并阻止jscript.dll文件执行代码。

下面提供了有关如何做到这一点的详细信息，摘自Microsoft的文档。

要在Internet区域中禁用jscript执行，请在注册表编辑器中找到以下注册表子项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet设置\Zones\3\140D要在受限站点区域中禁用jscript执行，请在注册表编辑器中找到以下注册表子项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet设置\Zones\4\140D