影響版本:

Microsoft Internet Explorer 8.0

Microsoft Internet Explorer 7.0

Microsoft Internet Explorer 6.0 SP1

Microsoft Internet Explorer 6.0漏洞描述:

BUGTRAQ  ID: 36620

CVE(CAN) ID: CVE-2009-2530

Internet Explorer是Windows操作系統(tǒng)中默認捆綁的WEB瀏覽器。

Internet Explorer特定DOM對象的拷貝構(gòu)造函數(shù)中存在漏洞。在復制的時候，多個引用可能生成任意的分配屬性。如果變量/對象超出了范圍，就會兩次釋放這些屬性，觸發(fā)堆破壞。攻擊者可以通過構(gòu)建特制的網(wǎng)頁來利用該漏洞，當用戶查看網(wǎng)頁時，就可能允許遠程執(zhí)行代碼。

<*參考  ZDI（http://www.zerodayinitiative.com/）

http://marc.info/?l=bugtraq&m=125546723011129&w=2

http://secunia.com/advisories/36979/

http://www.microsoft.com/technet/security/Bulletin/MS09-054.mspx?pf=true

http://www.us-cert.gov/cas/techalerts/TA09-286A.html *>

SEBUG安全建議:

臨時解決方法：

* 將Internet Explorer配置為在Internet和本地Intranet安全區(qū)域中運行ActiveX控件和活動腳本之前進行提示。

* 將Internet 和本地Intranet安全區(qū)域設(shè)置設(shè)為“高”，以便在這些區(qū)域中運行ActiveX控件和活動腳本之前進行提示。

廠商補?。?

Microsoft

Microsoft已經(jīng)為此發(fā)布了一個安全公告（MS09-054）以及相應補丁:
MS09-054：Cumulative Security Update for Internet Explorer (974455)
鏈接：http://www.microsoft.com/technet/security/Bulletin/MS09-054.mspx?pf=true

【編輯推薦】

1. Microsoft IE daxctle.ocx 控件溢出漏洞
2. IE漏洞頻頻專家建議使用Opera等安全瀏覽器
3. IE漏洞或?qū)е逻h程攻擊微軟專家解析如何防御