IE6和IE7浏览器爆出新漏洞IE8幸免

开发 前端
本文向大家介绍一下IE6、IE7和IE8这三大浏览器漏洞问题,微软已经确认IE6和IE7浏览器中存在一个新的安全漏洞,而IE8以及较老的IE5.01版本浏览器则不会受到该漏洞的影响。

你对IE6、IE7和IE8这三大浏览器漏洞问题是否了解,这里和大家分享一下,微软发布了3月份代号为KB981374的安全漏洞补丁,IE浏览器又再次曝出一个新的“内存破坏”漏洞,加上还没得到修复的“F1按键”漏洞,IE浏览器因此可能面临两大漏洞的威胁。

IE6和IE7浏览器出现新漏洞IE8未受影响

  微软发布了3月份代号为KB981374的安全漏洞补丁,IE浏览器又再次曝出一个新的“内存破坏”漏洞,加上还没得到修复的“F1按键”漏洞,IE浏览器因此可能面临两大漏洞的威胁。微软也已经确认其IE6和IE7浏览器中存在一个新的安全漏洞,并且已经检测到有黑客利用这个漏洞发起了攻击,不过最新版的IE8以及较老的IE5.01版本浏览器则不会受到该漏洞的影响。

    微软官网有消息显示:“该漏洞是由于浏览器中的一个非法指针而引起。而在某些情况下,当浏览器的访问目的地址被删除之后,有关的指针仍然会被保留下来,这样黑客就可以使用这个非法指针来控制浏览器执行远程代码。”金山安全专家预估,此漏洞一旦被利用,影响或超IE极光漏洞。

  针对IE浏览器“内存破坏”漏洞,微软公司发布安全公告(981374)指出,漏洞涉及WindowsXP/2000/2003操作系统下的IE6和IE7浏览器。受影响用户如果访问黑客构造的恶意网页,电脑将自动下载运行木马等恶意软件,从而受到黑客“遥控”。

  微软的官方声明还指出:”目前为止我们已经发现有人在利用这种漏洞进行攻击,不过我们正在密切监视黑客的有关动向,并会随时将事件件的最新进展报告给客户。”

  于此同时,nCircle网络安全公司的经理AndrewStorms则对ComputerWorld网站表示目前还不清楚微软是否会很快推出修补该漏洞的补丁。他表示:“一般而言,假如某个漏洞被大规模利用,那么微软才会很快推出有关的补丁更新。”

  据悉,IE“内存破坏”漏洞是由IE浏览器一个特定函数的参数设置产生的,通过多次调用该函数传入同一个对象会造成引用计数失误,触发一个指针引用错误,最后导致黑客可以远程执行任意代码。

  360安全专家石晓虹博士透露,360恶意网页监控系统在3月8日晚间发现针对该漏洞的挂马攻击,并截获了攻击代码的脚本样本。经测试验证,“360实时保护”无需升级即可拦截现有的IE“内存破坏”漏洞挂马网页,在微软发布补丁前可以保护用户免受相应的漏洞攻击。

  目前,微软建议IE6及IE7用户临时关闭浏览器的脚本功能,并开启DEP(数据执行保护),但并没有表态何时发布补丁修复漏洞。石晓虹则表示,360安全中心正在严密监控着IE“内存破坏”漏洞以及“F1按键”漏洞的攻击趋势,确保360安全卫士能够拦截相应的漏洞攻击,并在微软发布官方补丁后第一时间为用户修复漏洞。

漏洞影响:

1、主要影响用户:

IE6/IE7用户

2、不受影响用户

IE8用户和IE5.01用户
受IE0day漏洞影响的软件并非仅限于IE浏览器。在我国,还有大量第三方浏览器使用IE内核,这些浏览器在中国的用户数高达数千万。另外,还有相当多的互联网软件会内嵌IE内核的浏览器以显示广告图片或文字,当IE爆发0day漏洞时,这些软件都可能成为安全隐患。

因此,将IE浏览器升级到IE8是一种比较好防范方法,尽管有用户可能根本不用IE,但仍然建议升级IE内核。#p#

临时解决方法:

Windows用户可以采用下面几种临时解决方案来减少漏洞威胁:

◆修改系统对iepeers.dll文件的访问权限。

对32位系统,执行如下命令:
Echoy|cacls%WINDIR%\SYSTEM32\iepeers.DLL/E/Peveryone:N
对64位系统,执行如下命令:
Echoy|cacls%WINDIR%\SYSWOW64\iepeers.DLL/E/Peveryone:N
调整访问权限以后,打印和Web文件夹之类的扩展功能可能受到影响。

◆将InternetExplorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。

◆将Internet和本地Intranet安全区域设置设为“高”,以便在这些区域中运行ActiveX控件和活动脚本之前进行提示。

◆对InternetExplorer6SP2或InternetExplorer7启用DEP。

方法1:下载安装微软提供的开启DEP补丁:

http://go.microsoft.com/?linkid=9668626

方法2:手工开启全局DEP:

对于WindowsXP用户,如果之前没有手工调整过DEP策略,请点击开始菜单的“运行”,输入“sysdm.cpl”,点击“确定”。点击“高级”分页,然后点击“性能”分栏中的“设置”按钮。选择“数据执行保护”分页,选择“除所选之外,为所有程序和服务启用数据执行保护”。然后点击下面的“确定”按钮。这个操作可能需要重新启动系统后生效。

如果你还是IE6和IE7浏览器的使用用户,那么升级浏览器到IE8是目前最有效的防御方式,除了IE8浏览器本身具有的超强被动防御能力,IE8还采用了恶意程序防堵技术,可有效的拦截含有恶意程序的网站,以及侦测使用者自相关网站所下载的文件,防堵传统特徵杀毒软件尚未能拦截的新威胁。因此iefans建议IE使用者尽快升级到IE8以保障您的网络浏览安全。

版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
文章引用地址:http://www.iefans.net/ie6-ie7-xinloudong-ie8/作者:iefans
 

【编辑推荐】

  1. 十个不被IE6支持的实用CSS属性
  2. 微软展示IE9浏览器 力推IE8将取代IE6市场
  3. 探究IE和Firefox下的2款HTTP调试工具用法
  4. Firefox和IE浏览器清除缓存方法揭秘
  5. 实现IE6、IE7、IE8多版本浏览器共存的五种方法

 

 

责任编辑:佚名 来源: iefans.net
相关推荐

2010-08-17 15:07:48

IE6IE7IE8

2010-08-20 09:25:11

IE6IE7IE8

2010-08-20 08:45:55

IE6IE7IE8

2010-08-18 14:42:16

IE6IE7IE8

2010-09-15 10:19:12

IE6IE7IE8

2009-08-13 10:12:07

IE的CSS Bug

2010-08-17 16:27:52

IE6IE7IE8

2010-08-19 10:56:55

JSIE6IE7

2010-08-20 13:08:41

IE6IE7IE8

2010-08-18 10:24:51

IE6IE7IE8

2010-03-02 08:48:23

2010-08-20 09:56:25

IE6IE7IE8

2010-09-16 13:17:31

IE6IE7IE8

2010-08-20 09:33:22

IE6IE7IE8

2010-09-15 11:32:37

IE6IE7浏览器兼容性

2010-09-15 11:18:27

IE6IE7火狐

2010-09-16 13:33:47

IE6IE7IE8

2010-08-18 15:57:14

IE6IE7IE8

2011-06-03 15:41:27

CSS HACK

2010-08-18 10:37:16

IE6IE7IE8
点赞
收藏

51CTO技术栈公众号