微软表示将在明日发布一个额外补丁,修复三周前公布的IE6和IE7中的远程代码执行漏洞。
MS10-018将修复Web浏览器所使用的一个无效指针引用。这一额外的IE安全更新还将修复IE中的其它九个漏洞,这一更新原本计划在4月13日的周二常规补丁更新中发布。
微软3月9日称,在某些条件下,无效指针会在对象删除之后被访问。通过使用特定的攻击方式,这一漏洞会被利用来执行远程代码。攻击代码已被发布到Metaspolit框架上,促进了紧急补丁的发布。
Microsoft Windows 2000服务包4上的IE6服务包1,以及IE6和IE7都会受到影响,IE8不受影响。
微软在昨日的公告中称:“我们建议用户在更新发布之后尽快安装。”
在先前的公告中,微软称,攻击者会使用鱼叉式网络钓鱼攻击技术来引诱用户访问恶意网站,从而将恶意软件下载到受害者的机器上。之后,攻击者会拥有和本地用户相同的用户权限。目前微软推荐使用可替代的方式,包括将IE中的因特网区域的安全级别调高,禁用脚本和Active X控件。