据国外媒体消息,日前,微软警告称,在IE 7中发现的关键0Day漏洞,同样会影响到其他旧版的IE浏览器甚至是新发布的IE 8 Beta版本。目前,微软尚未修复这个关键0Day漏洞,据悉,短期内黑客利用最新发现IE漏洞发起攻击的数量将急剧增加,而相应补丁程序目前尚未完成开发。
此外,微软在日前更新的一份公告中证实,在所有版本Windows操作系统上运行的IE5.01 SP4、IE6、IE6 SP1、IE8 Beta 2都可能存在该漏洞。在Windows XP SP2和SP3,Windows Server 2003 SP1和SP2,Vista和Vista SP1,Windows Server 2008运行的IE7也都存在该漏洞。微软技术人员兹夫·马多尔(Ziv Mador)和塔莱克·萨德康姆(Tareq Saadecom)周六表示:“目前的情况是,利用该漏洞发起攻击的数量正呈急剧增长之势。”
同时,微软还在公告中阐述了该漏洞的性质。微软称:“该漏洞是IE数据绑定功能中一个无效的指针引用。当数据绑定功能开启(缺省状态)时,在某些情况下,对象释放时会出现不更新数组长度的现象,系统可能会访问被删除对象的内存空间。这会导致IE异常退出。”
微软表示,只发现有限的利用IE7中该漏洞的攻击。马多尔和萨德康姆表示,一些黑客向合法网站偷偷上传恶意代码后,如果普通网民使用各种版本的IE浏览器访问这些网站,这些恶意代码将自动执行,进而在用户机器中安装恶意软件,黑客就可达到窃取用户个人信息之目的。“就我们目前收到的反馈信息看,全球约有0.2%网民在访问合法网站将受到攻击威胁;虽然该比率并不高,但用户基数仍很大。”
微软在公告中列举了数种降低中招风险的方法,但是,目前最万无一失的方法莫过于使用非微软浏览器软件。根据正常发布计划,微软要到1月13日才会再次发布补丁软件,如果微软不临时发布补丁软件,黑客就还有1个月的时间可以兴风作浪。