微软证实IE的HTML渲染引擎中存在0day漏洞

微软昨日发布安全公告(KB2488013),证实日前曝光的一个IE漏洞可能会导致远程代码攻击。这是一家法国安全公司Vupen在本月初曝光的oday漏洞,微软随后开展了调查,就在Vupen公开了攻击代码的同时,微软也发布了安全公告,警告用户避免受到此漏洞的影响。

微软当前正在开发补丁以便能尽快修复该漏洞,在补丁未完成前微软建议用户开启防火墙,及时升级软件,并且在机器上安装杀毒软件。该漏洞存在于IE的HTML渲染引擎中,远程攻击者可以利用该漏洞绕过Windows 7和Vista等系统的DEP(数据执行保护)和ASLR(地址空间布局随机化),进而执行恶意代码。

这个问题是由“mshtml.dll”动态链接库文件中的一个“use-after-free”错误引起的。当处理一个包含各种“@import”规则的参考CSS(层叠样式表)文件的网页的时候,这个错误允许远程攻击者通过一个特殊制作的网页执行任意代码。

微软公布了受影响的软件:

Windows XP SP3、Windows Server 2003 SP2平台上的IE6;

Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2平台上的IE7;

Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2、Windows 7、Windows Server 2008 R2平台上的IE8。

攻击代码请点这里

本文转载自:http://news.mydrivers.com/1/182/182751.htm

时间: 2024-09-17 03:09:21

微软证实IE的HTML渲染引擎中存在0day漏洞的相关文章

微软发布安全补丁,修复影响Windows多版本0Day漏洞

国外安全机构iSIGHT警告称,一个名为"沙虫"的俄罗斯黑客组织攻击了北约.乌克兰政府组织以及美国学术机构等目标,"沙虫"使用的Windows,OLE远程代码执行漏洞(CVE-2014-4114)样本已在网上出现.今日,微软已经发布了安全补丁修复了该漏洞.据iSight称在今年8月份发现利用该漏洞进行的相关攻击,在近五周时间内,其与微软共同开发针对该漏洞的补丁.在近期的相关检测后发现利用该漏洞的"沙虫"组织并未有进一步行动.俄国黑客组织"

Android WebView启动Chromium渲染引擎的过程分析

 首先感谢罗升阳的分享,原文链接http://blog.csdn.net/Luoshengyang/article/details/53237189   Android WebView加载了Chromium动态库之后,就可以启动Chromium渲染引擎了.Chromium渲染引擎由Browser.Render和GPU三端组成.其中,Browser端负责将网页UI合成在屏幕上,Render端负责加载网页的URL和渲染网页的UI,GPU端负责执行Browser端和Render端请求的GPU命令.本文

MHTML中曝出0day漏洞 影响各版Windows

微软昨日证实,他们正在调查一个新的0day漏洞,该漏洞存在于MHTML中,会导致信息泄露,影响所有Windows平台,包括Windows XP.Vista.Windows 7和所有版本的Windows Server. 该漏洞是由于MHTML解析文档中内容模块的MINE格式请求的方式所造成的,该漏洞可以允许攻击者在错误的安全上下文中执行脚本.成功利用该漏洞的攻击者能在用户的IE实例中注入客户端脚本,该脚本会导致内容欺诈.信息泄露或采取其它任何行动. 微软表示,网上已经出现了利用该漏洞进行攻击的代码

微软再爆0day漏洞Vista用户不受影响

比特网7月14日消息--昨日,两大杀毒软件厂商瑞星和赛门铁克再度发出安全警报,称发现微软视频技术控件(ActiveXcontrol)爆发零日(0day)漏洞,目前已有133万余台电脑遭攻击. 据悉,网络攻击者目前主要通过WindowsXP系统上的IE浏览器利用该漏洞发动攻击,并将矛头指向IE6和IE7浏览器,虽然目前对IE8尚无影响,但仍存潜在风险.系统 预装测试表明,使用WindowsVista系统的电脑用户目前并未受此次漏洞的影响. 零日漏洞最早于8日被黑客利用,最近每天被该漏洞攻击的电脑都

微软证实了IE8中的漏洞 已被用于黑客攻击

根据Net Applications的数据,IE8仍是微软浏览器家族里用户数最多的一个版本.上周五的时候,微软称其已经发现了该浏览器的一个漏洞,但指出该问题并不会影响到其它版本.微软的安全博客指出,理论上,如果用户使用受影响的浏览器访问恶意网站的时候,该漏洞可以允许远程代码的执行.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' style="width: 489px; height: 124px" a

win10预览版10041无斯巴达浏览器 IE浏览器Edge渲染引擎更新

  3月19日消息,微软在官方IE博客中不仅确认了斯巴达浏览器预览版将包含在下个Win10版本中,而且还列出了本次Build 10041版本中IE浏览器Edge渲染引擎更新的细节.本次更新的引擎功能是斯巴达浏览器的一部分,感兴趣的用户可以暂时用IE浏览器实验功能来"抢先"体验. 本次更新的渲染引擎内容比较丰富,主要包括以下几个方面: • 提升ECMAScript 6兼容性(在当前Win10预览版的Kangax ES6兼容性测试中提高74%) • 扩展支持DOM L3 XPath • 支

微软证实Office软件将登陆iOS和Android平台

对于既想利用Office帮助Windows Phone"鹤立鸡群",又想确保Office"无处不在"的微软而言,这是一个棘手的平衡问题. 北京时间10月11日消息,据国外媒体报道,尽管部分否认了捷克分部发表的一份声明,但微软证实Office软件将以某种方式登陆iOS和Android平台. 微软捷克分部在声明中称,Office将于明年初登陆iOS和Android平台. 微软的表态则不太明确,"我们之前就曾公布过,Office Mobile将支持Windows

统一模式的WebKit浏览器渲染引擎的利弊

Opera宣布转向使用开源的WebKit引擎 在本周前几天,欧朋浏览器(Opera)宣布正在逐步关闭其独立浏览器渲染引擎(brower rendering engine)的相关开发工作,继而转向使用开源的WebKit引擎,该消息很快引起了不小的轰动. WebKit引擎支持谷歌安卓系统和苹果IOS系统的内置浏览器,在移动领域,WebKit引擎实际上已经成为了移动浏览器内核开发的标准,而且它也非常可能成为桌面浏览器的内核标准.在全球范围内Chrome浏览器已经遥遥领先以Trident排版引擎为内核的

浅析渲染引擎与前端优化

本文主要是两方面内容: 浅析浏览器内核的工作原理(以 WebKit 2 为例). 浅析由浏览器内核想到的前端优化,或者说前端优化规则是从哪儿来的. 大家知道,大部分的 WEB 页面依托浏览器呈现,而浏览器能够将页面展示出来,基本依赖于浏览器的内核,即渲染引擎.今天以 Chrome 浏览器的内核 WebKit(更确切是 WebKit 分支 Blink,以下统称为 WebKit )为例,对渲染引擎如何展示页面做个简单.全面的了解. 浏览器的渲染引擎及其依赖模块 渲染引擎主要是将 WEB 资源如 HT