安全研究人員Aviv Raff近日發(fā)布了準(zhǔn)許某人控制正在運行Internet Explorer計算機的攻擊代碼。為以防萬一，Raff并沒有公布將這種攻擊隱藏在何處。

Raff 在本周三的博客日志中寫道，“在我博客的某個地方，我嵌入了一種能夠利用這種0-day漏洞的概念驗證型代碼�！边@個新漏洞影響著IE 7 與 IE 8，它能夠準(zhǔn)許一個攻擊者在受害人計算機上運行未經(jīng)認(rèn)可的軟件。Raff表示，在上周二已經(jīng)將這個漏洞通知了微軟，而微軟到目前為止還沒有為此打補丁。

Raff表示，如果他不公布這種漏洞，微軟不會很快地應(yīng)對這個安全問題。Raff表示，“雖然曾遵循微軟的‘有責(zé)任揭發(fā)漏洞’方針，但微軟在修正漏洞問題上太過緩慢。上次我使用它們的‘有責(zé)任揭發(fā)漏洞’方針時，它們花費了六個月的時間才修正了一行代碼�！�

要讓Raff的攻擊生效，黑客首先必須將少量的HTML代碼放到一個網(wǎng)站上，然后使受害人相信可以使用那個網(wǎng)站上的一個特定的瀏覽器特性。

Raff已將代碼放置到了他自己的網(wǎng)站上，而且在以后的幾天里，他將提供一些關(guān)于人們?yōu)榧ぐl(fā)這個漏洞而必須做哪些操作的提示。在被激發(fā)時，Raff的這種概念驗證型代碼會在受害人計算機上啟動微軟的兩個計算器軟件，但此代碼可被修改以執(zhí)行某種惡意操作。

本周三，他將發(fā)布這個漏洞的完整細(xì)節(jié)，連同其概念驗證型代碼。微軟未能立即對此發(fā)表評論。

標(biāo)簽： 安全 代碼 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。