11月4日消息,微軟發(fā)布警告稱,黑客正在對IE一個新的零日攻擊漏洞進(jìn)行新一輪的有針對性惡意軟件攻擊。這個安全漏洞能夠讓黑客實施遠(yuǎn)程執(zhí)行任意代碼攻擊和路過式下載攻擊。
微軟在安全公告中稱,這個安全漏洞是由于IE瀏覽器中的一個非法的標(biāo)記參考引起的。在某種情況下,在一個對象被刪除之后仍然可以訪問這個非法的標(biāo)記參考。在一個特別策劃的攻擊中,黑客試圖訪問一個釋放的對象,造成IE瀏覽器允許遠(yuǎn)程執(zhí)行代碼。
據(jù)賽門鐵克的Vikram Thakur說,在混合攻擊者可以利用這個IE漏洞。混合攻擊把社會工程學(xué)和路過下載方式結(jié)合起來向被感染的計算機中安裝后門木馬程序。
雖然這個安全漏洞是針對IE 6和IE 7的,但是,微軟明確表示這個安全漏洞還影響到在所有的支持版本的Windows上運行的IE 8瀏覽器。微軟說,IE 9測試版不受這個安全漏洞的影響。
在沒有安全補丁的情況下,微軟建議IE用戶采取如下措施:采用用戶定義的CSS(層疊樣式表單)覆蓋網(wǎng)站CSS風(fēng)格;應(yīng)用增強的緩解體驗工具;啟用IE 7的數(shù)據(jù)執(zhí)行保護(hù)功能;以純文本格式閱讀郵件;把互聯(lián)網(wǎng)和本地內(nèi)部網(wǎng)安全區(qū)設(shè)置為“高”,在這些區(qū)域封鎖ActiveX控件和Active腳本。
微軟在安全公告(編號2458511)中提供了使用這些緩解措施的方法。 |
.png){kind=small}
浙公網(wǎng)安備 33038102330897號