惠普曝光Win7/Win8.1系統(tǒng)IE漏洞，微軟：不打算修復

Win7之家（ airtaxifl.com）：惠普曝光Win7/Win8.1系統(tǒng)IE漏洞，微軟：不打算修復

近日在加拿大蒙特利爾舉行的RECon會議上，惠普團隊披露了一個32位Windows系統(tǒng)的IE漏洞，影響Win7/Win8.1系統(tǒng)，在其發(fā)布的一個關于攻擊細節(jié)的白皮書，其中包括對默認IE配置的修改攻擊，以及對IE防護提升的建議。據(jù)惠普方面透露，在將細節(jié)公布于眾之前，微軟已經(jīng)明確表示不會修復該漏洞。

這個IE漏洞基于ASLR（Address Space Layout Randomization），ASLR是一種針對緩沖區(qū)溢出的安全保護技術，通過對堆、棧、共享庫映射等線性區(qū)布局的隨機化，通過增加攻擊者預測目的地址的難度，防止攻擊者直接定位攻擊代碼位置，達到阻止溢出攻擊的目的。據(jù)研究表明，ASLR可以有效的降低緩沖區(qū)溢出攻擊的成功率，如今Linux、FreeBSD、Windows等主流操作系統(tǒng)都已采用了該技術。

據(jù)惠普研究人員統(tǒng)計，該漏洞影響數(shù)百萬的32位win系統(tǒng)。盡管惠普安全人員強烈表示微軟應及時修復該漏洞，但微軟依然不為所動，微軟給出的理由的是這個問題不影響IE的默認配置，不存在潛在風險，也不會影響大量的用戶，因此沒有必要花費力氣修復。另外就是將來的IE趨勢都是64位，32位將逐漸退出而且MemoryProtect（存儲保護）也會讓IE漏洞數(shù)量下降。