北京時間12月31日消息，據(jù)國外媒體報道，安全廠商FireEye在微軟IE瀏覽器中發(fā)現(xiàn)了一個新的零時安全漏洞，并且該漏洞可能會被網(wǎng)絡(luò)犯罪分子廣泛利用。據(jù)悉，受到該漏洞影響只有IE6、7和8，IE9和10不存在這個安全漏洞。

Dustin Childs of Microsoft Trustworthy Computing對媒體表示：“微軟發(fā)布了2794220號安全公告，告知用戶IE6、7和8中存在一個安全漏洞。雖然我們正在積極開發(fā)一款簡單易用的一鍵式補丁來解決這個問題，我們強烈建議用戶采取公告中所述的緩解措施和應(yīng)急方案。”

FireEye在12月21日發(fā)現(xiàn)，Council on Foreign Relations（CFR）網(wǎng)站已經(jīng)被攻破并且被植入了惡意內(nèi)容。CFR發(fā)言人大衛(wèi)米克黑爾（David Mikhail）周四對The Washington Free Beacon稱：“CFR網(wǎng)站安全團隊已經(jīng)知道了這個問題，目前正在進行調(diào)查。我們還將努力降低未來發(fā)生同類事件的可能性。”

據(jù)悉，惡意JavaScript只有在英語、簡體中文、繁體中文、日文、韓文或俄文版IE瀏覽器中才能利用惡意代碼。一旦初步檢測通過，JavaScript就會加載一個名為“today.swf”的Flash文件。這個文件最終會觸發(fā)heap spray攻擊并下載一個名為“xsainfo.jpg”的文件。

CERT知識庫（VU#154201）中提供了該漏洞的更多詳細信息。

關(guān)于該漏洞的技術(shù)信息如下：

微軟IE包含了一個位于mshtml CDwnBindInfo之中的“釋放后使用”（use-after-free）漏洞。專門針對該漏洞編寫的JavaScript可能會令I(lǐng)E創(chuàng)建一個包含CDwnBindInfo對象的CDoc對象。這個對象也許不用移除指針就可被釋放，結(jié)果就會導(dǎo)致IE嘗試呼叫一個無效的內(nèi)存地址。配合使用heap spray或其他技術(shù)，攻擊者就可以在這個地址中放置任意代碼。這個漏洞目前已經(jīng)被廣泛利用，使用Adobe Flash來實現(xiàn)heap spray攻擊和使用Java來提供ROP（Return Oriented Programming）控件。

由于現(xiàn)在還沒有可用的補丁，F(xiàn)ireEye在報告中提供了一些應(yīng)急措施：使用微軟Enhanced Mitigation Experience Toolkit（EMET）、禁用IE中的Flash ActiveX控制、禁用IE中的Java。FireEye建議用戶不要使用IE8或更早版本的IE瀏覽器，升級到IE9或10，或是使用一款不同的瀏覽器比如谷歌(微博)Chrome。