IE發(fā)現(xiàn)新的零日攻擊漏洞

Win7之家（ afsion.com.cn）：IE發(fā)現(xiàn)新的零日攻擊漏洞

       微軟發(fā)布警告稱，黑客正在對(duì)IE瀏覽器的一個(gè)新的零日攻擊漏洞進(jìn)行新一輪的有針對(duì)性的惡意軟件攻擊。這個(gè)安全漏洞能夠讓黑客實(shí)施遠(yuǎn)程執(zhí)行任意代碼攻擊和路過(guò)式下載攻擊。

　　微軟在安全公告中稱，這個(gè)安全漏洞是由于IE瀏覽器中的一個(gè)非法的標(biāo)記參考引起的。在某種情況下，在一個(gè)對(duì)象被刪除之后仍然可以訪問(wèn)這個(gè)非法的標(biāo)記參考。在一個(gè)特別策劃的攻擊中，黑客試圖訪問(wèn)一個(gè)釋放的對(duì)象，造成IE瀏覽器允許遠(yuǎn)程執(zhí)行代碼。

　　據(jù)賽門(mén)鐵克的Vikram Thakur說(shuō)，在混合攻擊者可以利用這個(gè)IE漏洞�；旌瞎�擊把社會(huì)工程學(xué)和路過(guò)下載方式結(jié)合起來(lái)向被感染的計(jì)算機(jī)中安裝后門(mén)木馬程序。

　　雖然這個(gè)安全漏洞是針對(duì)IE 6和IE 7的，但是，微軟明確表示這個(gè)安全漏洞還影響到在所有的支持版本的Windows上運(yùn)行的IE 8瀏覽器。微軟說(shuō)，IE 9測(cè)試版不受這個(gè)安全漏洞的影響。

　　在沒(méi)有安全補(bǔ)丁的情況下，微軟建議IE用戶采取如下措施：采用用戶定義的CSS（層疊樣式表單）覆蓋網(wǎng)站CSS風(fēng)格；應(yīng)用增強(qiáng)的緩解體驗(yàn)工具；啟用IE 7的數(shù)據(jù)執(zhí)行保護(hù)功能；以純文本格式閱讀郵件；把互聯(lián)網(wǎng)和本地內(nèi)部網(wǎng)安全區(qū)設(shè)置為“高”，在這些區(qū)域封鎖ActiveX控件和Active腳本。

　　微軟在安全公告（編號(hào)2458511）中提供了使用這些緩解措施的方法。