微软:IE浏览器所有版本均存零日漏洞

至顶网 发表于:14年04月29日 11:26 [综述] DOIT.com.cn

  • 分享:
[导读]微软上个周六晚上透露, IE浏览器所有版本存在一漏洞,可用于“有限的、有针对性的攻击”。微软称他们正在调查有关的漏洞和攻击,但尚未确定采取什么样的相应行动以及何时采取行动。

微软上个周六晚上透露, IE浏览器所有版本存在一漏洞,可用于“有限的、有针对性的攻击”。微软称他们正在调查有关的漏洞和攻击,但尚未确定采取什么样的相应行动以及何时采取行动。

IE浏览器6至11的所有版本均因存此漏洞被列入可受到攻击的对象,除了Server Core以外,其他使用这些IE浏览器的所有Windows也可能遭受攻击。Windows Server版在默认的增强安全配置下运行IE浏览器,不会受到攻击。但如果有关网站被置于IE浏览器的可信任站点区域内,则Windows Server版亦会受到影响。

研究公司FireEye向微软报告了此漏洞。FireEye表示,虽然此漏洞会影响IE浏览器的所有版本,但针对漏洞的攻击仅对IE浏览器9、10和11版有效,攻击属于所谓的“释放后利用”(Use after free)型,即是说,浏览器内存中的对象被释放后,有心人对所用过的内存区进行操作。相关的攻击绕过DEP(数据执行保护)和ASLR(地址空间布局随机化)两个保护机制。

根据FireEye的说法,具体的攻击是利用Adobe Flash的SWF文件对堆(Heap)做处理。相关的堆处理技术名为堆风水。微软和FireEye都没有提到以下的这一点,但是没有安装Flash的计算机不会受到有关的攻击,不过因其附有IE浏览器仍会存有漏洞遭到攻击。IE浏览器10版和11版配有内嵌的Flash,所以肯定会受到攻击的影响。

增强型缓解体验工具包(Enhanced Mitigation Experience Toolkit ,缩写为EMET)可以使得利用漏洞进行攻击变得困难一些。

[责任编辑:李洪亮]
李洪亮
自统一通信概念诞生以来,一直受到业务广泛关注。但随着大数据、云计算和移动互联网技术的商用,企业正从信息时代迈入以客户为中心的时代。在这样的环境下,用户对统一通信技术的诉求也发生变化。近日,在2014 CENCE中国企业网络通信大会上,华为中国区统一通信解决方案销售总监曲昌智表示,华为将围绕移动为核心,打造全新的统一通信的解决方案。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.