IE攻击代码公布 可绕过Win7安全保护功能
  • 萧萧
  • 2010年12月23日 09:37
  • 0

12月9日法国安全公司Vupen表示,他们发现了IE浏览器的HTML渲染引擎中存在的一个0day漏洞,如果被利用,攻击者可以远程绕过打过完整补丁的Windows 7和Vista系统的安全防护措施,在系统上运行恶意代码。微软随后表示正在对此进行调查。

就在微软仍在调查的时候,Vupen公开了利用该漏洞绕开系统安全防护措施的攻击代码,IE6、IE7和IE8都无法幸免。与从前曝光的IE漏洞不同,此次的0day漏洞能被用来在大部分Windows和IE版本上执行恶意代码,包括完整补丁的Windows 7上的IE8。

IE攻击代码公布 可绕过Win7安全保护功能

攻击者能够利用该漏洞和相关技术绕过两个Windows安全功能:DEP(数据执行保护)和ASLR(地址空间布局随机化),这个问题是由“mshtml.dll”动态链接库文件中的一个“use-after-free”错误引起的。当处理一个包含各种“@import”规则的参考CSS(层叠样式表)文件的网页的时候,这个错误允许远程攻击者通过一个特殊制作的网页执行任意代码。

微软当前仍在调查中,本月的安全补丁也已经在上周发布过,微软可能会在明年1月份的补丁修复该漏洞,如果事态严重,微软也可能为此发布非常规补丁。

文章纠错

  • 好文点赞
  • 水文反对

此文章为快科技原创文章,快科技网站保留文章图片及文字内容版权,如需转载此文章请注明出处:快科技

观点发布 网站评论、账号管理说明
热门评论
查看全部评论
相关报道

最热文章排行查看排行详情

邮件订阅

评论0 | 点赞0| 分享0 | 收藏0