一个法国IT安全公司对外透露,一个之前不知名的“零日漏洞”将能够对微软大多数版本的IE浏览器产生影响。一旦攻击者成功利用这个漏洞,将能够绕过Windows 7和Windows Vista中的防御功能,在受害者的计算机中运行恶意代码。
12月9日,法国蒙彼利埃的安全公司Vupen Security指出,IE浏览器的HTML引擎中存在一处缺陷,将能够对Windows 7、Vista以及XP操作系统中运行的IE8以及XP中运行的IE6和IE7浏览器产生影响,这个漏洞可能允许攻击者完全控制存在漏洞的系统。
对此,微软表示,该公司正在针对相关的漏洞进行调查,不过目前并未收到任何受到这个漏洞攻击的报告。
当IE加载包含@import规则的专门格式的CSS(层叠样式表)文件的时候,这个漏洞可能会被利用,这将使得网站纳入来自外部网站的样式表。
来自Offensive Security的博客称,大多数的受支持Windows和IE版本都会受到这个漏洞的影响,其中包括运行IE8浏览器的Windows 7操作系统。当这个漏洞与其它的攻击技术相结合之后,将会允许攻击者绕过两个Windows安全功能:数据执行保护(DEP)和地址空间布局随机化(ASLR)。
据悉,数据执行保护(DEP)和地址空间布局随机化(ASLR)这两个功能是专门用来阻止恶意代码运行的。