微软日前警告称,在IE 7中发现的一个尚未修正的漏洞同样影响旧版IE,以及最新的β测试版本。
这一信息无疑扩大了可能受到攻击的用户范围,微软尚未开发出修正该漏洞的补丁软件。
微软在日前更新的一份公告中证实,在所有版本Windows操作系统上运行的IE5.01 SP4、IE6、IE6 SP1、IE8 β2都可能存在该漏洞。在Windows XP SP2和SP3,Windows Server 2003 SP1和SP2,Vista和Vista SP1,Windows Server 2008运行的IE7也都存在该漏洞。
微软在公告中阐述了该漏洞的性质。微软称,“该漏洞是IE数据绑定功能中一个无效的指针引用。当数据绑定功能开启(缺省状态)时,在某些情况下,对象释放时会出现不更新数组长度的现象,系统可能会访问被删除对象的内存空间。这会导致IE异常退出。”
微软表示,只发现有限的利用IE7中该漏洞的攻击。但安全专家指出,能够利用该漏洞发动攻击的网站越来越多了。问题在于,有时用户必须浏览可能会下载木马的网站,一旦用户的PC中招后,黑客可以指挥木马下载其它恶意软件,执行发送垃圾邮件、窃取数据等操作。
微软在公告中列举了数种降低中招风险的方法,但是,目前最万无一失的方法莫过于使用非微软浏览器软件。根据正常发布计划,微软要到1月13日才会再次发布补丁软件,如果微软不临时发布补丁软件,黑客就还有1个月的时间可以兴风作浪。
