你對(duì)IE6、IE7和IE8這三大瀏覽器漏洞問題是否了解，這里和大家分享一下，微軟發(fā)布了3月份代號(hào)為KB981374的安全漏洞補(bǔ)丁，IE瀏覽器又再次曝出一個(gè)新的“內(nèi)存破壞”漏洞，加上還沒得到修復(fù)的“F1按鍵”漏洞，IE瀏覽器因此可能面臨兩大漏洞的威脅。

IE6和IE7瀏覽器出現(xiàn)新漏洞IE8未受影響

　　微軟發(fā)布了3月份代號(hào)為KB981374的安全漏洞補(bǔ)丁，IE瀏覽器又再次曝出一個(gè)新的“內(nèi)存破壞”漏洞，加上還沒得到修復(fù)的“F1按鍵”漏洞，IE瀏覽器因此可能面臨兩大漏洞的威脅。微軟也已經(jīng)確認(rèn)其IE6和IE7瀏覽器中存在一個(gè)新的安全漏洞，并且已經(jīng)檢測(cè)到有黑客利用這個(gè)漏洞發(fā)起了攻擊，不過最新版的IE8以及較老的IE5.01版本瀏覽器則不會(huì)受到該漏洞的影響。

    微軟官網(wǎng)有消息顯示：“該漏洞是由于瀏覽器中的一個(gè)非法指針而引起。而在某些情況下，當(dāng)瀏覽器的訪問目的地址被刪除之后，有關(guān)的指針仍然會(huì)被保留下來，這樣黑客就可以使用這個(gè)非法指針來控制瀏覽器執(zhí)行遠(yuǎn)程代碼?！苯鹕桨踩珜＜翌A(yù)估，此漏洞一旦被利用，影響或超IE極光漏洞。

　　針對(duì)IE瀏覽器“內(nèi)存破壞”漏洞，微軟公司發(fā)布安全公告(981374)指出，漏洞涉及WindowsXP/2000/2003操作系統(tǒng)下的IE6和IE7瀏覽器。受影響用戶如果訪問黑客構(gòu)造的惡意網(wǎng)頁，電腦將自動(dòng)下載運(yùn)行木馬等惡意軟件，從而受到黑客“遙控”。

　　微軟的官方聲明還指出：”目前為止我們已經(jīng)發(fā)現(xiàn)有人在利用這種漏洞進(jìn)行攻擊，不過我們正在密切監(jiān)視黑客的有關(guān)動(dòng)向，并會(huì)隨時(shí)將事件件的最新進(jìn)展報(bào)告給客戶。”

　　于此同時(shí)，nCircle網(wǎng)絡(luò)安全公司的經(jīng)理AndrewStorms則對(duì)ComputerWorld網(wǎng)站表示目前還不清楚微軟是否會(huì)很快推出修補(bǔ)該漏洞的補(bǔ)丁。他表示：“一般而言，假如某個(gè)漏洞被大規(guī)模利用，那么微軟才會(huì)很快推出有關(guān)的補(bǔ)丁更新?！?/P>

　　據(jù)悉，IE“內(nèi)存破壞”漏洞是由IE瀏覽器一個(gè)特定函數(shù)的參數(shù)設(shè)置產(chǎn)生的，通過多次調(diào)用該函數(shù)傳入同一個(gè)對(duì)象會(huì)造成引用計(jì)數(shù)失誤，觸發(fā)一個(gè)指針引用錯(cuò)誤，最后導(dǎo)致黑客可以遠(yuǎn)程執(zhí)行任意代碼。

　　360安全專家石曉虹博士透露，360惡意網(wǎng)頁監(jiān)控系統(tǒng)在3月8日晚間發(fā)現(xiàn)針對(duì)該漏洞的掛馬攻擊，并截獲了攻擊代碼的腳本樣本。經(jīng)測(cè)試驗(yàn)證，“360實(shí)時(shí)保護(hù)”無需升級(jí)即可攔截現(xiàn)有的IE“內(nèi)存破壞”漏洞掛馬網(wǎng)頁，在微軟發(fā)布補(bǔ)丁前可以保護(hù)用戶免受相應(yīng)的漏洞攻擊。

　　目前，微軟建議IE6及IE7用戶臨時(shí)關(guān)閉瀏覽器的腳本功能，并開啟DEP(數(shù)據(jù)執(zhí)行保護(hù))，但并沒有表態(tài)何時(shí)發(fā)布補(bǔ)丁修復(fù)漏洞。石曉虹則表示，360安全中心正在嚴(yán)密監(jiān)控著IE“內(nèi)存破壞”漏洞以及“F1按鍵”漏洞的攻擊趨勢(shì)，確保360安全衛(wèi)士能夠攔截相應(yīng)的漏洞攻擊，并在微軟發(fā)布官方補(bǔ)丁后第一時(shí)間為用戶修復(fù)漏洞。

漏洞影響：

1、主要影響用戶：

IE6/IE7用戶

2、不受影響用戶

IE8用戶和IE5.01用戶
受IE0day漏洞影響的軟件并非僅限于IE瀏覽器。在我國，還有大量第三方瀏覽器使用IE內(nèi)核，這些瀏覽器在中國的用戶數(shù)高達(dá)數(shù)千萬。另外，還有相當(dāng)多的互聯(lián)網(wǎng)軟件會(huì)內(nèi)嵌IE內(nèi)核的瀏覽器以顯示廣告圖片或文字，當(dāng)IE爆發(fā)0day漏洞時(shí)，這些軟件都可能成為安全隱患。

因此，將IE瀏覽器升級(jí)到IE8是一種比較好防范方法，盡管有用戶可能根本不用IE，但仍然建議升級(jí)IE內(nèi)核。#p#

臨時(shí)解決方法：

Windows用戶可以采用下面幾種臨時(shí)解決方案來減少漏洞威脅：

◆修改系統(tǒng)對(duì)iepeers.dll文件的訪問權(quán)限。

對(duì)32位系統(tǒng)，執(zhí)行如下命令：
Echoy|cacls%WINDIR%\SYSTEM32\iepeers.DLL/E/Peveryone:N
對(duì)64位系統(tǒng)，執(zhí)行如下命令：
Echoy|cacls%WINDIR%\SYSWOW64\iepeers.DLL/E/Peveryone:N
調(diào)整訪問權(quán)限以后，打印和Web文件夾之類的擴(kuò)展功能可能受到影響。

◆將InternetExplorer配置為在Internet和本地Intranet安全區(qū)域中運(yùn)行ActiveX控件和活動(dòng)腳本之前進(jìn)行提示。

◆將Internet和本地Intranet安全區(qū)域設(shè)置設(shè)為“高”，以便在這些區(qū)域中運(yùn)行ActiveX控件和活動(dòng)腳本之前進(jìn)行提示。

◆對(duì)InternetExplorer6SP2或InternetExplorer7啟用DEP。

方法1：下載安裝微軟提供的開啟DEP補(bǔ)?。?/P>

http://go.microsoft.com/?linkid=9668626

方法2：手工開啟全局DEP：

對(duì)于WindowsXP用戶，如果之前沒有手工調(diào)整過DEP策略，請(qǐng)點(diǎn)擊開始菜單的“運(yùn)行”，輸入“sysdm.cpl”，點(diǎn)擊“確定”。點(diǎn)擊“高級(jí)”分頁，然后點(diǎn)擊“性能”分欄中的“設(shè)置”按鈕。選擇“數(shù)據(jù)執(zhí)行保護(hù)”分頁，選擇“除所選之外，為所有程序和服務(wù)啟用數(shù)據(jù)執(zhí)行保護(hù)”。然后點(diǎn)擊下面的“確定”按鈕。這個(gè)操作可能需要重新啟動(dòng)系統(tǒng)后生效。

如果你還是IE6和IE7瀏覽器的使用用戶，那么升級(jí)瀏覽器到IE8是目前最有效的防御方式，除了IE8瀏覽器本身具有的超強(qiáng)被動(dòng)防御能力，IE8還采用了惡意程序防堵技術(shù)，可有效的攔截含有惡意程序的網(wǎng)站，以及偵測(cè)使用者自相關(guān)網(wǎng)站所下載的文件，防堵傳統(tǒng)特徵殺毒軟件尚未能攔截的新威脅。因此iefans建議IE使用者盡快升級(jí)到IE8以保障您的網(wǎng)絡(luò)瀏覽安全。

版權(quán)聲明：轉(zhuǎn)載時(shí)請(qǐng)以超鏈接形式標(biāo)明文章原始出處和作者信息及本聲明
文章引用地址：http://www.iefans.net/ie6-ie7-xinloudong-ie8/作者：iefans
 

【編輯推薦】

1. 十個(gè)不被IE6支持的實(shí)用CSS屬性
2. 微軟展示IE9瀏覽器 力推IE8將取代IE6市場(chǎng)
3. 探究IE和Firefox下的2款HTTP調(diào)試工具用法
4. Firefox和IE瀏覽器清除緩存方法揭秘
5. 實(shí)現(xiàn)IE6、IE7、IE8多版本瀏覽器共存的五種方法