Metasploit攻击IE代码失效 微软再逃一劫

开源安全漏洞检测工具Metasploit的研发者近日发布一组能够危害微软IE的代码,但是并没有产生预想中的破坏。

20日在Bugtraq的邮寄名单中公布于众的最初的利用IE的漏洞的代码并不可靠,但是安全专家们忧心很快会产生为网络罪犯利用的更具有破坏性的代码版本。

最初的漏洞代码采用"堆喷射"(heap-spray)技术,但是25日Metasploit研发组"似乎"又开发出了更为可靠的代码。
Metasploi使用由Alexander Sotirov和Marc Dowd最先开发的.net dlll内存技术,最终推出声称比堆喷射技术更为先进的代码。

"这个漏洞本身是不可靠的。" Metasploit开发人员HD Moore25日在Twitter的一则消息上说道。Metasploit试图从两方面利用IE的漏洞,而一种是"有问题的",另一种技术"堆喷射"也已经失效。

微软近日经由电子邮件表示:目前没有发现任何大规模的使用开发代码的攻击以及用户受到影响。

使用IE的用户没有受到可能面临的攻击,这对于微软来说是一个好消息,因为大约40%的网民在使用IE6和IE7,一旦被攻击,将受到无法估计的损失。

微软公司也针对漏洞发布了安全建议,并指出新版本IE8将不会受到该漏洞的影响。用户可以通过升级浏览器或者禁止JavaScript来避免攻击。