IE发现新的零日攻击漏洞 用户可采取缓解措施

11月4日消息,微软发布警告称,黑客正在对IE一个新的零日攻击漏洞进行新一轮的有针对性恶意软件攻击。这个安全漏洞能够让黑客实施远程执行任意代码攻击和路过式下载攻击。

微软在安全公告中称,这个安全漏洞是由于IE浏览器中的一个非法的标记参考引起的。在某种情况下,在一个对象被删除之后仍然可以访问这个非法的标记参考。在一个特别策划的攻击中,黑客试图访问一个释放的对象,造成IE浏览器允许远程执行代码。

据赛门铁克的Vikram Thakur说,在混合攻击者可以利用这个IE漏洞。混合攻击把社会工程学和路过下载方式结合起来向被感染的计算机中安装后门木马程序。

虽然这个安全漏洞是针对IE 6和IE 7的,但是,微软明确表示这个安全漏洞还影响到在所有的支持版本的Windows上运行的IE 8浏览器。微软说,IE 9测试版不受这个安全漏洞的影响。

在没有安全补丁的情况下,微软建议IE用户采取如下措施:采用用户定义的CSS(层 叠样式表单)覆盖网站CSS风格;应用增强的缓解体验工具;启用IE 7的数据执行保护功能;以纯文本格式阅读邮件;把互联网和本地内部网安全区设置为“高”,在这些区域封锁ActiveX控件和Active脚本。

微软在安全公告(编号2458511)中提供了使用这些缓解措施的方法。

原文链接:http://tech.ccidnet.com/art/1101/20101104/2233263_1.html

相关阅读:

IE 9开发大赛火热报名进行中

微软最顶级平台技术会议PDC10全程视频播放

Microsoft Web平台——优秀项目展示

Windows Phone 7 MSDN开发中心

时间: 2024-10-22 09:26:00

IE发现新的零日攻击漏洞 用户可采取缓解措施的相关文章

微软 Word 曝零日攻击漏洞 涉及所有版本

凤凰科技讯 北京时间3月25日消息,据科技博客ZDNet报道,微软公司今天表示,安全人员在Word应用上发现了一处尚未封堵的零日攻击漏洞,该漏洞存在于所有版本的Word应用. 微软称,包括Windows.Mac等在内的所有版本Word应用上均存在该漏洞,而且SharePoint Server上的Word Viewer.Word Automation等相关服务也都受此影响,但目前黑客针对的攻击对象为Word 2010.通常来讲,如果黑客针对某一版本产品进行攻击,可能意味着他们已经获悉了哪个版本的产

名叫“极光”的IE零日攻击漏洞

[51CTO.com独家观察]2010年1月12日,谷歌对外宣布称发现有大陆黑客正利用这种漏洞对自己和其它几家美国公司发起攻击,另外谷歌同时还表示攻击的目标还包括多位私人用户的Gmail邮箱.传闻攻击用到了IE的一个零日漏洞,此事甚至激起了Google退出中国的想法,于是有安全工程师戏称:一个IE 0day引发了中美关系紧张.随后微软起草了一份安全咨询报告,并发布了对Zero-day漏洞威胁的风险评估.零日公开 各厂商表态1月15日,McAfee表示自己早些时候便已经发现了这个叫"极光"

谷歌组建“零日攻击”团队封堵网络安全漏洞

硅谷网讯 今年早些时候,互联网上曝出一个影响范围巨大的"心脏流血"漏洞,据说该漏洞也是多年以来互联网上爆发的规模最大的一个漏洞. 谷歌(微博)现在推出了一项名为"零计划"(http://www.aliyun.com/zixun/aggregation/3022.html">Project Zero)的新举措,以确保隐蔽的互联网漏洞不会失控. 谷歌在其官方博客上宣布,零计划背后的团队汇集了公司众多优秀的安全研究人员.该计划的名称来源于"零日攻

甲骨文11g数据库爆零日攻击 可完全攻破

一位知名的安全研究人员前日展示了如何利用零日攻击攻破甲骨文11g数据库的安全防护,并从获得完全的控制权. NGS咨询的研究员DavidLitchfield演示了黑客如何突破安全防御以特权接管甲骨文11g的完全控制权限,并阐述了如何绕过甲骨文标签安全设置对信息的强制访问控制权.与此同时,Litchfield也宣布,这是他在NGS任职的最后一天,他正在考虑将自己的研究重心转向计算机取证方面. 作为安全领域内的一名资深人士,Litchfield称:"当从听说了甲骨文的首席执行官埃里森吹嘘他的数据库'牢

安全专家称发现防护零日攻击新方法

据国外媒体报道,加利福尼亚大学戴维斯分校和英特尔公司的计算机安全实验室研究员,发现了一种可以对付零日攻击的新方法. 传统的防病毒软件可以检测到已知病毒,但是对新型的恶意软件却束手无策,尤其是对著名的零日攻击更加无计可施. 根据介绍,这项新技术主要涉及到记录网络上电脑中的可疑活动,以及与此同其他系统进行的匹配活动. "现在的问题是,我是否应该冒着可能失去业务的风险对网络关闭几个小时,而最后也许是虚惊一场;或者让网络继续运行并承受着受到病毒感染的风险?"一个参与此项计划的加州大学戴维斯分校

网络加密协议发现零日攻击安全漏洞

11月6日消息,据国外媒体报道,加密网页常用的TLS和SSL协议中的零日攻击安全漏洞已经 曝光.安全研究人员Marsh Ray和Steve Dispensa本周三披露了TSL(传输层安全协议)中安全漏洞.在此之前还披露了另一个类似的安全漏洞.在线零售商和银行一般都使用TLS及其前辈SSL(安全套接层协议)为网络交易提供安全. 这两个安全研究人员都在双因素身份识别公司PhoneFactor工作.Ray在博客中解释说,他最初是在8月份发行这个安全漏洞的并且在今年9月初向他的同事Dispensa演示了

微软发布应急补丁 修复IE零日攻击安全漏洞

3月30日消息,据国外媒体报道,微软宣布计划发布一个应急补丁,修复在IE浏览器中的一个零日攻击的安全漏洞. IE浏览器的一个累积的补丁(MS10-018)修复黑客在最近几个星期利用的在IE 6和IE 7浏览器中的安全漏洞.微软最新版本的IE 8浏览器不受这个安全漏洞的影响.微软在3月9日首次承认这是一个问题. 这个安全漏洞涉及到iepeers.dll动态链接库中一个安全漏洞,与处理经过"setAttribute()"函数的非法值有关.这些安全漏洞创造了向受害人PC放置恶意软件的途径,如

瑞数动态安全 - 零补丁、零规则 主动抵御未知零日攻击

越来越泛滥的零日攻击 在大多数网络安全从业者意识中,"零日攻击"往往是让人非常头痛的安全威胁.其高威胁性.突发性.高破坏性.大规模性的主要特点,让零日攻击能在网络安全地下黑市历时十多年都长盛不衰.近几年,零日漏洞的披露越来越多,影响面也越来越波及到各行各业,不仅仅是安全界,甚至也成为企业里的难题,究其原因,开源代码的不断扩散,被企业用于业务系统的开发,缩短项目周期,尽快将业务推向市场,是其根源之一. 这些开源组件中的代码被多种设备,多个系统复用,组件中一旦发现零日漏洞,产生的风险往往是

Pwn2Own2010上发现的IE8零日本月继续不修复

[51CTO.com独家报道]微软又在准备当月的公告和补丁了,有消息称微软在2010年4月份将发布11个 安全公告和25个漏洞补丁,但并不包括Pwn2Own黑客比赛中发现的IE8零日.虽然该零日可以绕过微软两大安全防御措施攻破Windows7,杀伤力惊人,64位操作系统亦受影响.如果微软在美国当地时间4月13日的表现确实如此,那就得让有这个IE8 exploit代码的骇客们偷笑了.其实在 Pwn2Own2010比赛结束后,微软发布过一次紧急补丁,但很奇怪没有涉及这个IE零日,原本等着这次正式补丁