首页 >> 通信技术 >> 技术滚动 >> 正文
微软:IE浏览器所有版本均存零日漏洞
通信世界网 http://www.cww.net.cn 2014年4月29日 14:58
标签:微软 ie浏览器 安全漏洞
 

微软上个周六晚上透露, IE浏览器所有版本存在一漏洞,可用于“有限的、有针对性的攻击”。微软称他们正在调查有关的漏洞和攻击,但尚未确定采取什么样的相应行动以及何时采取行动。

IE浏览器6至11的所有版本均因存此漏洞被列入可受到攻击的对象,除了Server Core以外,其他使用这些IE浏览器的所有Windows也可能遭受攻击。Windows Server版在默认的增强安全配置下运行IE浏览器,不会受到攻击。但如果有关网站被置于IE浏览器的可信任站点区域内,则Windows Server版亦会受到影响。

研究公司FireEye向微软报告了此漏洞。FireEye表示,虽然此漏洞会影响IE浏览器的所有版本,但针对漏洞的攻击仅对IE浏览器9、10和11版有效,攻击属于所谓的“释放后利用”(Use after free)型,即是说,浏览器内存中的对象被释放后,有心人对所用过的内存区进行操作。相关的攻击绕过DEP(数据执行保护)和ASLR(地址空间布局随机化)两个保护机制。

根据FireEye的说法,具体的攻击是利用Adobe Flash的SWF文件对堆(Heap)做处理。相关的堆处理技术名为堆风水。微软和FireEye都没有提到以下的这一点,但是没有安装Flash的计算机不会受到有关的攻击,不过因其附有IE浏览器仍会存有漏洞遭到攻击。IE浏览器10版和11版配有内嵌的Flash,所以肯定会受到攻击的影响。

增强型缓解体验工具包(Enhanced Mitigation Experience Toolkit ,缩写为EMET)可以使得利用漏洞进行攻击变得困难一些。通信世界网

 

来源:至顶网
相关文章
 
文章评论
 
    昵称:  验证码:

 
关注通信世界网
 
 
官方微信
“cww-weixin”(或扫描下图二维码),即可于获得独家的CWW视点分析、最新的通信资讯。
 
 
专家观点
邬贺铨:频率紧张限..
“中国移动说今年要建20万个基站,到时就超过其他国家4G基站总和。但是..
 
 
最新专题
  • 1

  • 1

  • 1

  • 1

通信百科
 
华为IDC/ISP信息安全管理..
IDC需要加强信息安全管理互联网接入服务管理是互联网管理的重要组成部分..
 
 
 
新浪微博 腾讯微博 微信 rss
人民邮电出版社
工业和信息化部
人民邮电出版社图书专营店
中国通信企业协会
中国通信学会
中国互联网协会
无线电频谱管理中心
工业和信息化部电信研究院
中国通信标准化协会
中国移动通信联合会
中国邮电器材公司
中国电信
中国移动
中国联通
中国信息协会信息服务网络委员会
爱购服务器之家
新浪科技
搜狐IT
腾讯科技
凤凰网科技
人民网无线频道
中国通信网
移动Labs
中华电子网
通信产业网
企业网
In-Stat
IT价值联盟
中国软件资讯网
通信人才网
慧聪通信网
CTI论坛
CIO选型网
CTO技术网
美通社
赛立信竞争情报网
CRS通信学社
ZDNet至顶网
和讯科技
博趣·兴趣门户
呼叫中心频道
运营与增值
信天下企业短信
新电子
OFweek光通讯网
中云网