IE6和IE7浏览器爆出新漏洞IE8幸免

你对IE6、IE7和IE8这三大浏览器漏洞问题是否了解，这里和大家分享一下，微软发布了3月份代号为KB981374的安全漏洞补丁，IE浏览器又再次曝出一个新的“内存破坏”漏洞，加上还没得到修复的“F1按键”漏洞，IE浏览器因此可能面临两大漏洞的威胁。

IE6和IE7浏览器出现新漏洞IE8未受影响

　　微软发布了3月份代号为KB981374的安全漏洞补丁，IE浏览器又再次曝出一个新的“内存破坏”漏洞，加上还没得到修复的“F1按键”漏洞，IE浏览器因此可能面临两大漏洞的威胁。微软也已经确认其IE6和IE7浏览器中存在一个新的安全漏洞，并且已经检测到有黑客利用这个漏洞发起了攻击，不过最新版的IE8以及较老的IE5.01版本浏览器则不会受到该漏洞的影响。

    微软官网有消息显示：“该漏洞是由于浏览器中的一个非法指针而引起。而在某些情况下，当浏览器的访问目的地址被删除之后，有关的指针仍然会被保留下来，这样黑客就可以使用这个非法指针来控制浏览器执行远程代码。”金山安全专家预估，此漏洞一旦被利用，影响或超IE极光漏洞。

　　针对IE浏览器“内存破坏”漏洞，微软公司发布安全公告(981374)指出，漏洞涉及WindowsXP/2000/2003操作系统下的IE6和IE7浏览器。受影响用户如果访问黑客构造的恶意网页，电脑将自动下载运行木马等恶意软件，从而受到黑客“遥控”。

　　微软的官方声明还指出：”目前为止我们已经发现有人在利用这种漏洞进行攻击，不过我们正在密切监视黑客的有关动向，并会随时将事件件的最新进展报告给客户。”

　　于此同时，nCircle网络安全公司的经理AndrewStorms则对ComputerWorld网站表示目前还不清楚微软是否会很快推出修补该漏洞的补丁。他表示：“一般而言，假如某个漏洞被大规模利用，那么微软才会很快推出有关的补丁更新。”

　　据悉，IE“内存破坏”漏洞是由IE浏览器一个特定函数的参数设置产生的，通过多次调用该函数传入同一个对象会造成引用计数失误，触发一个指针引用错误，最后导致黑客可以远程执行任意代码。

　　360安全专家石晓虹博士透露，360恶意网页监控系统在3月8日晚间发现针对该漏洞的挂马攻击，并截获了攻击代码的脚本样本。经测试验证，“360实时保护”无需升级即可拦截现有的IE“内存破坏”漏洞挂马网页，在微软发布补丁前可以保护用户免受相应的漏洞攻击。

　　目前，微软建议IE6及IE7用户临时关闭浏览器的脚本功能，并开启DEP(数据执行保护)，但并没有表态何时发布补丁修复漏洞。石晓虹则表示，360安全中心正在严密监控着IE“内存破坏”漏洞以及“F1按键”漏洞的攻击趋势，确保360安全卫士能够拦截相应的漏洞攻击，并在微软发布官方补丁后第一时间为用户修复漏洞。

漏洞影响：

1、主要影响用户：

IE6/IE7用户

2、不受影响用户

IE8用户和IE5.01用户
受IE0day漏洞影响的软件并非仅限于IE浏览器。在我国，还有大量第三方浏览器使用IE内核，这些浏览器在中国的用户数高达数千万。另外，还有相当多的互联网软件会内嵌IE内核的浏览器以显示广告图片或文字，当IE爆发0day漏洞时，这些软件都可能成为安全隐患。

因此，将IE浏览器升级到IE8是一种比较好防范方法，尽管有用户可能根本不用IE，但仍然建议升级IE内核。#p#

临时解决方法：

Windows用户可以采用下面几种临时解决方案来减少漏洞威胁：

◆修改系统对iepeers.dll文件的访问权限。

对32位系统，执行如下命令：
Echoy|cacls%WINDIR%\SYSTEM32\iepeers.DLL/E/Peveryone:N
对64位系统，执行如下命令：
Echoy|cacls%WINDIR%\SYSWOW64\iepeers.DLL/E/Peveryone:N
调整访问权限以后，打印和Web文件夹之类的扩展功能可能受到影响。

◆将InternetExplorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。

◆将Internet和本地Intranet安全区域设置设为“高”，以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

◆对InternetExplorer6SP2或InternetExplorer7启用DEP。

方法1：下载安装微软提供的开启DEP补丁：

http://go.microsoft.com/?linkid=9668626

方法2：手工开启全局DEP：

对于WindowsXP用户，如果之前没有手工调整过DEP策略，请点击开始菜单的“运行”，输入“sysdm.cpl”，点击“确定”。点击“高级”分页，然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页，选择“除所选之外，为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。

如果你还是IE6和IE7浏览器的使用用户，那么升级浏览器到IE8是目前最有效的防御方式，除了IE8浏览器本身具有的超强被动防御能力，IE8还采用了恶意程序防堵技术，可有效的拦截含有恶意程序的网站，以及侦测使用者自相关网站所下载的文件，防堵传统特徵杀毒软件尚未能拦截的新威胁。因此iefans建议IE使用者尽快升级到IE8以保障您的网络浏览安全。

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
文章引用地址：http://www.iefans.net/ie6-ie7-xinloudong-ie8/作者：iefans
 

【编辑推荐】

1. 十个不被IE6支持的实用CSS属性
2. 微软展示IE9浏览器 力推IE8将取代IE6市场
3. 探究IE和Firefox下的2款HTTP调试工具用法
4. Firefox和IE浏览器清除缓存方法揭秘
5. 实现IE6、IE7、IE8多版本浏览器共存的五种方法