据数家安全厂商发布的公告称,本周一,面向最新修正版IE的缺陷利用代码已经发布出来,使得用户有受到远程代码攻击的危险。
安全厂商Secunia 在公告中表示,该缺陷利用代码利用了在Windows XP SP2上运行的IE 5.5和IE 6,以及在Windows 2000 SP4上运行的IE 6中“极度危急”缺陷。一旦用户被诱惑访问一个恶意网站,无需用户参与,javascript中的一个缺陷就能够被自动利用。
Secunia 的技术总监托马斯说,黑客可以利用该代码在用户的系统上运行他们希望的任何代码,他们可能会在用户的系统上运行恶意代码。
据SANS互联网风暴中心发布的一份公告称,这一缺陷存在于IE用于加载Web 网页的一个Javascript组件中。微软还没有发布针对该缺陷利用代码的补丁软件,因此用户需要关闭IE的javascript功能或换用其它浏览器来解决这一问题。
安全研究人员指出,这一IE缺陷在6 个月前就被发现了,但此前一直被认为可以用来发动拒绝服务攻击,而不是远程执行代码。
该缺陷代码是由一个名为“计算机恐怖主义”的组织发布的。
微软的一名代表没有对该缺陷或利用代码发表评论,但表示微软正在对这一问题进行调查。这名代表指出,目前,我们还没有接到客户因该缺陷而受到攻击的报告。根据调查的结果,微软将采取恰当的措施保护客户的安全。
