国外黑客发现了在Internet Explorer中的一个新的漏洞,并且他们还发布了用来针对IE用户的攻击代码。
赛门铁克安全响应团队的一名高级产品经理Vincent Hwang称,该漏洞和微软上个月修补的一个IE多媒体组件中的BUG非常相似。
据Hwang称,本周三黑客在xsec.org上公布了一段针对该漏洞的简单利用程序代码,但是赛门铁克方面尚未发现该代码在任何攻击中使用过。
要使用这段代码,攻击者必须先诱使用户浏览一个恶意编码的网页,但是他们不能够在受害者的计算机上运行为认证的代码。
目前,受该漏洞影响的Windows和Internet Explorer的版本尚不清楚。Secunia方面称,他们的研究者能够针对运行有IE6的Windows XP生成一个“能够完全正常工作的”利用程序。同样,Windows 2000也存在该漏洞。
微软安全研究部门并未就此事发表任何评论,但是据该公司公关部一名发言人称,目前此事已经正在研讨之中。
赛门铁克方面称此漏洞为“严重”,而Secunia将其定性为最高等级--“相当严重”。
xsec.org上的黑客称他们的代码为“零时间”攻击代码,意思就是该利用代码是针对一个先前没有暴露出来的漏洞。但是据一名知名黑客称,该漏洞通过一些常见的安全工具,比如AxMan ActiveX警报软件,就可以检测出来。
Metasploit项目主管HD Moore通过邮件透露:“称其为‘零时间’有点过了。”
Moore编写了一个叫做AxMan的ActiveX自动测试工具,该工具检测出了一堆IE的BUG,其中就包括xsec.org上公布的利用程序所针对的这个漏洞。
“这是使用AxMan就可以找出的众多可利用BUG中的一个,并且其中一个我还没有包括在浏览器月度bug中,这是因为这个漏洞太容易被利用了,”他说道。“我目前还发现了有三到四个有同样影响的IE漏洞。”
这已经是目前微软未修补的第二个漏洞了。本月些时候,攻击者开始了对该公司Word软件的一个漏洞的利用。
黑客在xsec.org上公布的攻击代码:http://xsec.org/index.php?module=Releases&act=view&type=2&id=20