|
||||
據報道,微軟周六晚些時候證實,在所有版本的IE瀏覽器上均發現存在一處新的零日漏洞,該漏洞可致黑客通過執行遠程代碼獲得系統控制權,從而發動『有限的、針對性的攻擊』。
安全公司Fire Eye最早於上周五發現了該漏洞。據Fire Eye稱,該漏洞為一未知的『釋放後使用』(use after free)類型漏洞——在內存釋放後獲取數據的數據破壞,並可繞過Windows的DEP(數據執行預防)和ASLR(地址空間布局隨機化)安全技術的保護。
Fire Eye稱,從IE 6到IE 11,所有版本的IE瀏覽器上均存在該漏洞,但目前黑客針對的攻擊對象為使用IE 9、10和11等版本用戶。Fire Eye表示,該漏洞的潛在破壞性十分嚴重,因為它影響到了超過四分之一的瀏覽器市場。據市場調研機構NetMarket提供的數據顯示,2013年,微軟IE在全球瀏覽器市場上的份額達到了26.25%。
微軟在一份聲明中確認該漏洞存在,並解釋稱,黑客可能通過該漏洞,將訪客引誘至一個特別制作的網頁上。微軟表示,『成功利用此漏洞的攻擊者,可以獲得與當前用戶相同的用戶權限。如果當前用戶設置了較少的用戶權限,而成功利用此漏洞的攻擊者,可以不受此影響,獲得系統的完整控制權。』
微軟表示,公司正在對該漏洞展開調查,並計劃著手發布安全更新來解決這一問題。