多家网络安全公司已经向印度用户发出了警告,因为它们在IE8浏览器中发现了一个“高”级别的安全隐患。据印度“计算机紧急响应团队”(CERT-In)发现,该国互联网域名的防御漏洞,有着暴露用户隐私的高风险。网络安全机构将此类威胁定位“高”级别,而某个针对IE8的漏洞,可能会允许未经身份验证的远程攻击者在目标系统上执行任意代码。
该漏洞因为对CMarkup对象的不当处理才存在(CMarkup::CreateInitialMarkup)。而一个未经身份验证的远程攻击者,可以利用这个问题,并引导用户浏览精心设计后的HTML文档,以便触发一次内存崩溃(Memory Corruption)。
如果攻击者能够成功利用此漏洞,那么目标用户的隐私极可能被泄露,因为攻击者能够以目标用户的权限,在系统上执行任意代码。
最后,如果您正在使用IE8,该机构建议您升级到IE11、安装增强减灾工具包(EMET)、并且将互联网的安全级别设置为“高”,以便阻止ActiveX控件和活动脚本。