微软证实IE的HTML渲染引擎中存在0day漏洞
2010-12-30 15:15
169 查看
微软昨日发布安全公告(KB2488013),证实日前曝光的一个IE漏洞可能会导致远程代码攻击。这是一家法国安全公司Vupen在本月初曝光的oday漏洞,微软随后开展了调查,就在Vupen公开了攻击代码的同时,微软也发布了安全公告,警告用户避免受到此漏洞的影响。
微软当前正在开发补丁以便能尽快修复该漏洞,在补丁未完成前微软建议用户开启防火墙,及时升级软件,并且在机器上安装杀毒软件。该漏洞存在于IE的HTML渲染引擎中,远程攻击者可以利用该漏洞绕过Windows 7和Vista等系统的DEP(数据执行保护)和ASLR(地址空间布局随机化),进而执行恶意代码。
这个问题是由“mshtml.dll”动态链接库文件中的一个“use-after-free”错误引起的。当处理一个包含各种“@import”规则的参考CSS(层叠样式表)文件的网页的时候,这个错误允许远程攻击者通过一个特殊制作的网页执行任意代码。
微软公布了受影响的软件:
Windows XP SP3、Windows Server 2003 SP2平台上的IE6;
Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2平台上的IE7;
Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2、Windows 7、Windows Server 2008 R2平台上的IE8。
攻击代码请点这里
微软当前正在开发补丁以便能尽快修复该漏洞,在补丁未完成前微软建议用户开启防火墙,及时升级软件,并且在机器上安装杀毒软件。该漏洞存在于IE的HTML渲染引擎中,远程攻击者可以利用该漏洞绕过Windows 7和Vista等系统的DEP(数据执行保护)和ASLR(地址空间布局随机化),进而执行恶意代码。
这个问题是由“mshtml.dll”动态链接库文件中的一个“use-after-free”错误引起的。当处理一个包含各种“@import”规则的参考CSS(层叠样式表)文件的网页的时候,这个错误允许远程攻击者通过一个特殊制作的网页执行任意代码。
微软公布了受影响的软件:
Windows XP SP3、Windows Server 2003 SP2平台上的IE6;
Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2平台上的IE7;
Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2、Windows 7、Windows Server 2008 R2平台上的IE8。
攻击代码请点这里
相关文章推荐
- 微软证实IE的HTML渲染引擎中存在0day漏洞
- IE对CSS的渲染引擎hasLayout
- 1月14日晚,微软发布IE 0day漏洞警告(979352)
- HTML模板渲染引擎Hogan
- 微软证实所有版本IE浏览器均存在高危漏洞
- 浏览器是怎样工作的:渲染引擎,HTML解析(连载二)
- 浏览器是怎样工作的:渲染引擎,HTML解析
- 浏览器是怎样工作的:渲染引擎,HTML解析
- 浏览器是怎样工作的(二):渲染引擎,HTML解析
- 简单的html渲染模板引擎
- 官方证实:迅雷v5.1.0.153存在可导致IE无法下载的重大BUG
- IE6、7下html标签间存在空白符,导致渲染后占用多余空白位置的原因及解决方法
- How Broswers Work<二>渲染引擎(3)--HTML解析
- 浏览器是怎样工作的二:渲染引擎 HTML解析(1)(转)
- UIWebView---iOS中使用模板引擎渲染HTML界面
- html&js 在firefox与IE中呈现存在差异的解决方法总结
- 浏览器是怎样工作的二:渲染引擎 HTML解析
- 浏览器是怎样工作的二:渲染引擎 HTML解析(2)(转)
- 微软IE XML 0DAY漏洞 更新 下载
- 微软IE 9浏览器将更广泛支持HTML5