3月10日消息,微软刚刚发布3月安全更新的漏洞补丁,IE浏览器又曝出一个新的“内存破坏”漏洞,再加上还没得到修复的“F1按键”漏洞,IE浏览器因此将面临两大漏洞攻击。
针对IE浏览器“内存破坏”漏洞,微软公司发布安全公告(981374)指出,漏洞涉及Windows XP/2000/2003操作系统下的IE6和IE7浏览器。受影响用户如果访问黑客构造的恶意网页,电脑将自动下载运行木马等恶意软件,从而受到黑客“遥控”。
经分析发现,IE“内存破坏”漏洞是由IE浏览器一个特定函数的参数设置产生的,通过多次调用该函数传入同一个对象会造成引用计数失误,触发一个指针引用错误,最后导致黑客可以远程执行任意代码。
据安全专家石晓虹博士透露,恶意网页监控系统在3月8日晚间发现针对该漏洞的挂马攻击,并截获了攻击代码的脚本样本。
目前,微软建议IE6及IE7用户临时关闭浏览器的脚本功能,并开启DEP(数据执行保护),但并没有表态何时发布补丁修复漏洞。