Win XP上新IE浏览器漏洞 微软开展调查

据国外媒体最新报道，资安业者iSEC上周揭露了微软IE的安全漏洞，微软官网在上周日向外界公布，公司目前正对黑客在Windows XP系统中植入恶意软件的VBScript漏洞开展调查。iSEC安全研究中心的安全分析师Maurycy Prodeus上周五曾表示，攻击者可以利用该漏洞向受害者PC注入恶意代码。IE7和IE8浏览器用户都存在危险。 微软安全响应中心（MSRC）高级主管杰瑞-布莱恩特（Jerry Bryant）周日通过一份电子邮件表示：“微软正在调查IE浏览器的VBScript和Windows Help文件存在的安全漏洞。目前的调查结果显示，Windows Vista, Windows 7, Windows Server 2008和Windows Server 2008 R2都不受影响。” Bryant说明，该漏洞与IE执行VBScript及Windows Help档案的方式有关，Windows Help档案被放在微软认定為非安全的档案型态列表上，平常在使用这些档案的时候，这些档案型态可用来呼叫自动化防护措施，避免使用者执行不安全的执行档，為非常有价值的生產力工具，然而，骇客也可以利用该功能来危害系统。 微软并未详细描述该漏洞，但iSEC指出，骇客得以传递一个远端的samba share（samba為可连结视窗及Linux的自由软体）以作為Help档案的参数，一旦该参数过长就可能造成缓冲区溢位并让骇客有机可趁，而且在XP上可被有效地执行，iSEC已公布概念性验证程式，并将该漏洞列為中度风险等级。 安全研究员Cesar Cerrudo也赞同Maurycy Prodeus的看法：“我试着利用这个漏洞进行攻击，我发现打满补丁的Windows XP 中的IE8仍然会受到影响。” Cesar Cerrudo同时也表示：“该漏洞的威胁级别应该是‘高危’。尽管它需要用户的相关操作（按下F1键），但攻击者可以通过很多种方法诱骗普通用户进行相关的操作。” Bryant表示，一旦微软完成调查就会採取适当的行动以保护客户与降低使用者风险，并鼓励安全研究人员谨守责任揭露，直接向业者提供漏洞细节，以及建议使用者啟动防火墙并安装相关的防毒与反间谍软体。据悉，微软公司的下一次补丁发布日为3月9日。不知微软在下次更新日之前是否会提供IE该漏洞的补丁下载。

标签:IE动态WinXP微软IE浏览器IE漏洞