微软发布关于IE浏览器drive-by攻击的安全公告

安全
近日,微软警告用户,称其IE浏览器中的一个新的零日漏洞正在被使用drive-by攻击的攻击者利用。

微软警告用户,称其IE浏览器中的一个新的零日漏洞正在被使用drive-by攻击的攻击者利用。

IE 6、7和8中存在的内存分配错误可以使攻击者远程执行代码,访问受害者的机器。微软表示已经发现了一个攻击网站以IE漏洞为攻击目标。IE 9测试版还未受到该攻击的影响。

在博客中,微软信任计算组响应通信小组经理Jerry Bryant表示微软工程师正在研究一个自动“fix-it”修复程序,以便在发布正式补丁之前使用。目前,该问题还没达到发布带外补丁的条件。

Drive-by攻击已经成为越来越常见的攻击方法。这种攻击是通过诱骗用户去访问电子邮件信息、即时信息中的恶意网站,或通过搜索引擎投毒来实施的。合法网站也经常会被用来托管攻击代码。博客、社交网站、Web论坛也可被用来托管drive-by攻击。

该安全咨文还列出了许多缓解该威胁的应对措施,其中包括使用纯文本格式读取电子邮件信息;在读取html数据时,用客户的级联样式表来重载;在IE 7中进行数据执行保护(DEP);部署增强减灾体验工具(EMET,Enhanced Mitigation Experience Toolkit)。

微软表示攻击者可以利用drive-by攻击网站,或者那些接受或托管用户提供内容的受感染网站(如博客和社交网站)来利用该漏洞。此外,发布广告的网站也可以被用来触发一种以该漏洞为目标的攻击。

微软表示,“但是,总的来说,攻击者不能强迫用户来访问这些网站,相反,攻击者可能会诱使用户去访问网站,一般是通过让用户点击电子邮件或即时通信信息中的链接,来让用户访问攻击者的网站。”

【编辑推荐】

  1. 微软正在调查IE浏览器CSS bug
  2. 微软发布IE紧急更新阻止最近发生的攻击行为
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2012-10-16 10:58:28

2016-05-03 09:27:21

2012-02-08 09:41:31

微软IE9

2015-08-21 14:55:03

2013-08-02 09:35:34

IE浏览器火狐浏览器

2014-06-11 21:00:23

2010-08-18 09:07:37

微软WindowsIE 9

2012-03-19 09:32:13

2022-08-12 07:00:00

NFC安全性RFID

2013-06-27 14:03:31

Build 2013IE11浏览器

2011-02-23 09:45:33

浏览器IE

2022-05-18 07:32:00

浏览器IE系统

2010-01-18 10:34:59

2022-05-18 09:11:19

IE浏览器

2013-06-09 13:17:15

IE 10浏览器

2013-11-11 11:00:30

2009-03-29 09:59:27

2009-03-28 09:50:02

IE8微软浏览器

2010-03-05 09:07:46

2020-11-25 09:21:12

微软WindowsIE
点赞
收藏

51CTO技术栈公众号