微軟警告用戶，稱(chēng)其IE瀏覽器中的一個(gè)新的零日漏洞正在被使用drive-by攻擊的攻擊者利用。

IE 6、7和8中存在的內(nèi)存分配錯(cuò)誤可以使攻擊者遠(yuǎn)程執(zhí)行代碼，訪問(wèn)受害者的機(jī)器。微軟表示已經(jīng)發(fā)現(xiàn)了一個(gè)攻擊網(wǎng)站以IE漏洞為攻擊目標(biāo)。IE 9測(cè)試版還未受到該攻擊的影響。

在博客中，微軟信任計(jì)算組響應(yīng)通信小組經(jīng)理Jerry Bryant表示微軟工程師正在研究一個(gè)自動(dòng)“fix-it”修復(fù)程序，以便在發(fā)布正式補(bǔ)丁之前使用。目前，該問(wèn)題還沒(méi)達(dá)到發(fā)布帶外補(bǔ)丁的條件。

Drive-by攻擊已經(jīng)成為越來(lái)越常見(jiàn)的攻擊方法。這種攻擊是通過(guò)誘騙用戶去訪問(wèn)電子郵件信息、即時(shí)信息中的惡意網(wǎng)站，或通過(guò)搜索引擎投毒來(lái)實(shí)施的。合法網(wǎng)站也經(jīng)常會(huì)被用來(lái)托管攻擊代碼。博客、社交網(wǎng)站、Web論壇也可被用來(lái)托管drive-by攻擊。

該安全咨文還列出了許多緩解該威脅的應(yīng)對(duì)措施，其中包括使用純文本格式讀取電子郵件信息；在讀取html數(shù)據(jù)時(shí)，用客戶的級(jí)聯(lián)樣式表來(lái)重載；在IE 7中進(jìn)行數(shù)據(jù)執(zhí)行保護(hù)（DEP）；部署增強(qiáng)減災(zāi)體驗(yàn)工具（EMET，Enhanced Mitigation Experience Toolkit）。

微軟表示攻擊者可以利用drive-by攻擊網(wǎng)站，或者那些接受或托管用戶提供內(nèi)容的受感染網(wǎng)站（如博客和社交網(wǎng)站）來(lái)利用該漏洞。此外，發(fā)布廣告的網(wǎng)站也可以被用來(lái)觸發(fā)一種以該漏洞為目標(biāo)的攻擊。

微軟表示，“但是，總的來(lái)說(shuō)，攻擊者不能強(qiáng)迫用戶來(lái)訪問(wèn)這些網(wǎng)站，相反，攻擊者可能會(huì)誘使用戶去訪問(wèn)網(wǎng)站，一般是通過(guò)讓用戶點(diǎn)擊電子郵件或即時(shí)通信信息中的鏈接，來(lái)讓用戶訪問(wèn)攻擊者的網(wǎng)站。”

【編輯推薦】

1. 微軟正在調(diào)查IE瀏覽器CSS bug
2. 微軟發(fā)布IE緊急更新阻止最近發(fā)生的攻擊行為