星期一, 十月 30, 2006

IE6 漏洞再现

      虽然 IE7 已经正式发布,但微软承诺过,对 IE6 的支持仍会继续。近日,IE6 再次被发现存在严重漏洞,微软方面也迅速做出了回应。

      根据美国计算机突发事件应付小组(US-CERT)和安全机构 SecurityFocus 的报告,以及微软安全响应中心的回应,IE6 中关键的 ActiveX 数据对象(ADO)数据库控制(ADODB.Connection)存在缺陷,可导致内存溢出,进而造成整个浏览器崩溃。

      据称,攻击者只需要6个指令长度的 JavaScript,就能造成错误的 SQL 声明,轻易使 ADO 控制过载,从而可以通过 IE6 远程执行恶意代码,不过 IE7 是否受影响没有披露。

      不过微软认为该漏洞的危险等级并不高,只会被恶意攻击者用来实施强迫下载。

      据悉,至少有一名 Beta 测试人员曾在 Office 2000 的 VBA 宏中发现过类似漏洞,时间是7年前。

      按照惯例,微软将在今后的月度安全补丁日中修复这一漏洞。作为暂时性的预防措施,用户可以在浏览器中禁用 ActiveX。

IE6 漏洞再现

IE6 漏洞再现

没有评论: