微軟發(fā)布安全公告，證實IE新漏洞，影響Win7等

Win7之家（ airtaxifl.com）：微軟發(fā)布安全公告，證實IE新漏洞，影響Win7等

微軟昨日發(fā)布安全公告（KB2488013），證實日前曝光的一個IE瀏覽器漏洞可能會導致遠程代碼攻擊。這是一家法國安全公司Vupen在本月初曝光的oday漏洞，微軟隨后開展了調查，就在Vupen公開了攻擊代碼的同時，微軟也發(fā)布了安全公告，警告用戶避免受到此漏洞的影響。微軟當前正在開發(fā)補丁以便能盡快修復該漏洞，在補丁未完成前微軟建議用戶開啟防火墻，及時升級軟件，并且在機器上安裝殺毒軟件。該漏洞存在于IE的 HTML渲染引擎中，遠程攻擊者可以利用該漏洞繞過Windows 7和Vista等系統(tǒng)的DEP（數據執(zhí)行保護）和ASLR（地址空間布局隨機化），進而執(zhí)行惡意代碼。

這個問題是由“mshtml.dll”動態(tài)鏈接庫文件中的一個“use-after-free”錯誤引起的。當處理一個包含各種“@import”規(guī)則的參考CSS（層疊樣式表）文件的網頁的時候，這個錯誤允許遠程攻擊者通過一個特殊制作的網頁執(zhí)行任意代碼。

微軟公布了受影響的軟件：

— Windows XP SP3、Windows Server 2003 SP2平臺上的IE6；

— Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2平臺上的IE7；

— Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2、Windows 7、Windows Server 2008 R2平臺上的IE8。