信息服务与管理
信息服务与管理
您当前的位置:首页 >信息服务与管理

关于微软IE浏览器存在一个零日高危漏洞的情况通报

信息来源: 本站原创 发稿时间: 2010-03-29 浏览次数:

   

关于微软IE浏览器存在一个零日高危漏洞的情况通报


安全漏洞:CN-VA10-27
发布日期:20100310
漏洞类型:远程执行代码
漏洞评估:严重
受影响的系统:
    Windows 2000
平台上的Internet Explorer 6 SP1
    Windows XP
平台上的Internet Explorer 6Internet Explorer 7
    Windows Server 2003
平台上的Internet Explorer 6 Internet Explorer 7
    Windows Vista
平台上的Internet Explorer 7
    Windows Server 2008
平台上的Internet Explorer 7

漏洞描述:
   
北京时间310日凌晨,微软公司发布安全公告IE浏览器存在一个零日高危漏洞(Microsoft Security Advisory981374)。该漏洞由国家信息安全漏洞共享平台(CNVD)向微软公司通报并依据CNVD工作流程协作处置。CNCERT已组织CNVD成员单位(知道创宇公司、奇虎360公司)对漏洞完成了测试验证,发现IE浏览器在解析页面时,如页面使用Javascript脚本语言对<body>标签进行特定操作时会引发错误异常,进而可执行任意指定的黑客程序。黑客利用该漏洞可通过网页挂马、邮件挂马等方式发动攻击,控制用户计算机。受该漏洞影响的版本包括IE 6IE 7,而IE 5IE 8不受影响。目前,微软公司在安全公告暂未发布漏洞补丁,互联网黑客社区及相关论坛中还未有针对此漏洞的攻击代码发布,但也不能完全排除黑客已掌握漏洞信息的可能。鉴于该漏洞极易利用,攻击成功率高且影响范围广,未来一段时间内黑客可能会发动大规模攻击。 
    
各单位应提高警惕并做好用户安全防范工作,具体防范措施如下:1)安装安全防护软件并及时更新升级,以便在浏览网页和收取邮件时查杀不明来源的恶意代码;2)提高IE浏览器安全策略级别,并开启DEP功能(数据执行保护);3)及时升级IE浏览器版本,尽量使用IE 8