日前微软确认在IE6和IE7中存在0day漏洞。该安全缺陷攻击代码于11月20日在Bugtraq名单中公布于众。
据调查IE浏览器的这一缺陷是与微软采用的CSS(层叠式样式表)相关,微软声称目前正在积极寻找解决之道。
"我们知道在网站上发布的漏洞的详细开发代码,但我们目前没有发现任何试图利用这个漏洞进行攻击的行为或者是用户受到冲击的消息。"11月23日微软公司的发言人说,"一旦我们做完调查,我们将采取适当的措施以维护用户的电脑安全,包括每月例行发行的安全补丁以及额外的专门补丁和用户指导。"
Vupen Security近日对该漏洞做了详细分析,发现该漏洞是由一种当经由"getElementsByTagName()"的方式恢复特定的CSS样式对象时挂在微软的HTML检视(mshtml.dll)的悬摆指针。如果开发成功,攻击者可以利用崩溃的浏览器或运行任意代码来蒙骗用户进入参观一个恶意网页。
Vupen建议用户可以采用网上禁止脚本解析以及本地内部网的安全区域注册表。
此外,微软可能于12月8日的周二安全修复补丁中发行该漏洞的补丁。
