IE瀏覽器“全軍覆沒”:微軟已證實現存所有IE上有新零日漏洞
摘要:微軟證實在現存IE所有版本上發現了一個新零日漏洞,該漏洞使得黑客能夠遠程執行代碼,進行一些有限地針對性攻擊。此漏洞是由安全公司Fire Eye于上周五發現,該公司稱,目前漏洞攻擊主要是針對IE9、10和11版本。
北京時間4月28日消息,微軟在周六晚些時候證實,在目前IE所有版本上發現了一個新零日漏洞 。
微軟一位咨詢顧問稱,該漏洞使得黑客能夠遠程執行代碼,進行一些有限地針對性攻擊。在涉及范圍上,微軟IE6到IE11的瀏覽器都受到這個漏洞的影響。
值得一提的是,這個漏洞是由安全公司Fire Eye于上周五發現,該安全公司稱,目前漏洞攻擊主要是針對IE9、IE10和IE11版本。
這些攻擊利用了一個以前未知的“use after free”漏洞,該漏洞主要是內存被釋放后發生數據損壞,從而繞過Windows DEP(數據執行保護)和ASLR(地址空間布局隨機化)的保護 。
微軟解釋稱,攻擊者有可能會引誘訪問者到一個精心制作的網頁來觸發漏洞。微軟指出,這個漏洞之所以存在,主要是因為IE在訪問某個對象時內存被刪除或沒有適當的分配而導致的。在某種程度上,該漏洞可能會破壞內存,使得攻擊者能根據用戶IE中的上下文執行任意代碼。
微軟目前表示,它正在進行相關調查,并可能會通過額外的安全更新來解決這個問題。需要指出的是,由于微軟已經對Windows XP停止支持,因此Windows XP用戶恐怕無法收到相關更新。
Fire Eye稱,這個漏洞很嚴重,因為它影響超過了四分之一的瀏覽器市場。Fire Eye顧問指出,總體上,IE已占瀏覽器市場份額26.25%(2013年)。