IE浏览器“全军覆没”:微软已证实现存所有IE上有新零日漏洞
摘要:微软证实在现存IE所有版本上发现了一个新零日漏洞,该漏洞使得黑客能够远程执行代码,进行一些有限地针对性攻击。此漏洞是由安全公司Fire Eye于上周五发现,该公司称,目前漏洞攻击主要是针对IE9、10和11版本。
北京时间4月28日消息,微软在周六晚些时候证实,在目前IE所有版本上发现了一个新零日漏洞 。
微软一位咨询顾问称,该漏洞使得黑客能够远程执行代码,进行一些有限地针对性攻击。在涉及范围上,微软IE6到IE11的浏览器都受到这个漏洞的影响。
值得一提的是,这个漏洞是由安全公司Fire Eye于上周五发现,该安全公司称,目前漏洞攻击主要是针对IE9、IE10和IE11版本。
这些攻击利用了一个以前未知的“use after free”漏洞,该漏洞主要是内存被释放后发生数据损坏,从而绕过Windows DEP(数据执行保护)和ASLR(地址空间布局随机化)的保护 。
微软解释称,攻击者有可能会引诱访问者到一个精心制作的网页来触发漏洞。微软指出,这个漏洞之所以存在,主要是因为IE在访问某个对象时内存被删除或没有适当的分配而导致的。在某种程度上,该漏洞可能会破坏内存,使得攻击者能根据用户IE中的上下文执行任意代码。
微软目前表示,它正在进行相关调查,并可能会通过额外的安全更新来解决这个问题。需要指出的是,由于微软已经对Windows XP停止支持,因此Windows XP用户恐怕无法收到相关更新。
Fire Eye称,这个漏洞很严重,因为它影响超过了四分之一的浏览器市场。Fire Eye顾问指出,总体上,IE已占浏览器市场份额26.25%(2013年)。