安全研究人員Aviv Raff近日發(fā)布了準(zhǔn)許某人控制正在運(yùn)行Internet Explorer計(jì)算機(jī)的攻擊代碼。為以防萬(wàn)一，Raff并沒有公布將這種攻擊隱藏在何處。

Raff 在本周三的博客日志中寫道，“在我博客的某個(gè)地方，我嵌入了一種能夠利用這種0-day漏洞的概念驗(yàn)證型代碼。”這個(gè)新漏洞影響著IE 7 與 IE 8，它能夠準(zhǔn)許一個(gè)攻擊者在受害人計(jì)算機(jī)上運(yùn)行未經(jīng)認(rèn)可的軟件。Raff表示，在上周二已經(jīng)將這個(gè)漏洞通知了微軟，而微軟到目前為止還沒有為此打補(bǔ)丁。

Raff表示，如果他不公布這種漏洞，微軟不會(huì)很快地應(yīng)對(duì)這個(gè)安全問題。Raff表示，“雖然曾遵循微軟的‘有責(zé)任揭發(fā)漏洞’方針，但微軟在修正漏洞問題上太過緩慢。上次我使用它們的‘有責(zé)任揭發(fā)漏洞’方針時(shí)，它們花費(fèi)了六個(gè)月的時(shí)間才修正了一行代碼�！�

要讓Raff的攻擊生效，黑客首先必須將少量的HTML代碼放到一個(gè)網(wǎng)站上，然后使受害人相信可以使用那個(gè)網(wǎng)站上的一個(gè)特定的瀏覽器特性。

Raff已將代碼放置到了他自己的網(wǎng)站上，而且在以后的幾天里，他將提供一些關(guān)于人們?yōu)榧ぐl(fā)這個(gè)漏洞而必須做哪些操作的提示。在被激發(fā)時(shí)，Raff的這種概念驗(yàn)證型代碼會(huì)在受害人計(jì)算機(jī)上啟動(dòng)微軟的兩個(gè)計(jì)算器軟件，但此代碼可被修改以執(zhí)行某種惡意操作。

本周三，他將發(fā)布這個(gè)漏洞的完整細(xì)節(jié)，連同其概念驗(yàn)證型代碼。微軟未能立即對(duì)此發(fā)表評(píng)論。

標(biāo)簽： 安全 代碼 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。