微軟發(fā)布安全公告，證實(shí)IE新漏洞，影響Win7等

Win7之家（ afsion.com.cn）：微軟發(fā)布安全公告，證實(shí)IE新漏洞，影響Win7等

微軟昨日發(fā)布安全公告（KB2488013），證實(shí)日前曝光的一個(gè)IE瀏覽器漏洞可能會(huì)導(dǎo)致遠(yuǎn)程代碼攻擊。這是一家法國安全公司Vupen在本月初曝光的oday漏洞，微軟隨后開展了調(diào)查，就在Vupen公開了攻擊代碼的同時(shí)，微軟也發(fā)布了安全公告，警告用戶避免受到此漏洞的影響。微軟當(dāng)前正在開發(fā)補(bǔ)丁以便能盡快修復(fù)該漏洞，在補(bǔ)丁未完成前微軟建議用戶開啟防火墻，及時(shí)升級(jí)軟件，并且在機(jī)器上安裝殺毒軟件。該漏洞存在于IE的 HTML渲染引擎中，遠(yuǎn)程攻擊者可以利用該漏洞繞過Windows 7和Vista等系統(tǒng)的DEP（數(shù)據(jù)執(zhí)行保護(hù)）和ASLR（地址空間布局隨機(jī)化），進(jìn)而執(zhí)行惡意代碼。

這個(gè)問題是由“mshtml.dll”動(dòng)態(tài)鏈接庫文件中的一個(gè)“use-after-free”錯(cuò)誤引起的。當(dāng)處理一個(gè)包含各種“@import”規(guī)則的參考CSS（層疊樣式表）文件的網(wǎng)頁的時(shí)候，這個(gè)錯(cuò)誤允許遠(yuǎn)程攻擊者通過一個(gè)特殊制作的網(wǎng)頁執(zhí)行任意代碼。

微軟公布了受影響的軟件：

— Windows XP SP3、Windows Server 2003 SP2平臺(tái)上的IE6；

— Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2平臺(tái)上的IE7；

— Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2、Windows 7、Windows Server 2008 R2平臺(tái)上的IE8。