快捷搜索:

InternetExplorer安全问题乘以

微软InternetExplorer浏览器中严重未修补的漏洞列表不断变得越来越长。

研究员MichalZalewski上市后不到一周的新零-这个软件制造商已经承认了另一个影响完全打补丁的Windows系统的漏洞。

Secu易富彩票注册nia研究员AndreasSandblad在对Zalewski警告进行代码分析时发现了新的IE漏洞事实上,Secunia最初向微软报告其调查结果是对该漏洞的“成功利用”,但根据微软的内部调查,Secunia易富彩票注册实际上发现了一个新问题。

微软发言人告诉eWEEK,这可能是一个私人报告的新漏洞。

Secunia已经更新了其咨询报告,发现其发现是Zalews易富彩票注册ki报告的漏洞的“变种”。

该缺陷是由于进程中的内存损坏错误引起的包含格式错误的“对象”标记的特制HTML脚本,攻击者可利用该脚本通过诱使用户访问经特殊设计的网页来远程完全控制受影响的系统。

“[我们已经确认在使用InternetExplorer6.0和MicrosoftWindowsXPSP2的完全修补系统上执行代码。其它版本也可能受到影响。有关此变种的详细信息目前尚未公开披露,但已发送给正在制作补丁的微软,“该公司表示。

/zimages/4/28571.gif在此处阅读更多内容MichalZalewski报告的IE漏洞。

Secunias发现尤其令人担忧,因为它是在对公开报道的问题进行调查时发现的。

可能是其他有恶意的人可能独立安全研究员马修·墨菲(MatthewMurphy)表示,他自己最近向微软报告了IE漏洞。

“很可能他们正在处理两起非常类似的攻击,并将其转变为零日攻击。”两个截然不同的代码缺陷。这并不奇怪,因为有一个主要错误的代码在其他地方经常会遇到一些类似的缺陷,“墨菲说。”墨菲称赞微软承认这个漏洞可能会变成漏洞。“我认为让人们知道这个问题是可以利用的是一个很好的步骤,因为人们需要知道这一点来评估风险。然而,现在我们知道它的可利用性,更多的人将会寻找如何去做,“他补充说。”

Secunia对该漏洞提出了“非常关键”的评级,并警告说它可以用于PC接管攻击。

根据Secunia在2003年至2005年间发布的85条建议,大约25%的IE漏洞仍未修补。超过40%的这些建议严重到可以使用在系统妥协攻击中。

/zimages/4/28571.gif查看eWEEK.coms以获取最新的安全新闻,评论和分析。有关网络安全性的见解,请查看eWEEK。com安全中心编辑LarrySeltzers博客。

进一步阅读Brinqa如何为网络风险带来可行的见解......Splunk与LogRhythm:SIEM正面交锋

(责任编辑:易富彩票注册)