據(jù)國外媒體報道，微軟公司周日確認(rèn)，公司正在調(diào)查黑客在Windows XP系統(tǒng)中植入惡意軟件的VBScript漏洞。

iSEC安全研究中心的安全分析師Maurycy Prodeus上周五曾表示，攻擊者可以利用該漏洞向受害者PC注入惡意代碼。IE7和IE8用戶都存在危險。微軟安全響應(yīng)中心（MSRC）高級主管杰瑞 -布萊恩特（Jerry Bryant）周日通過一份電子郵件表示：“微軟正在調(diào)查IE瀏覽器的VBScript和Windows Help文件存在的安全漏洞。目前的調(diào)查結(jié)果顯示，Windows Vista, Windows 7, Windows Server 2008和Windows Server 2008 R2都不受影響?！?/P>

Maurycy Prodeus稱此漏洞為“邏輯缺陷”，攻擊者通過偽裝作Windows Help文件（具備.hlp擴(kuò)展名）向用戶傳播惡意代碼，用戶將看到一個彈出提示按下F1鍵的窗口。由于需要用戶的合作，因此該漏洞被鑒定為“中等”級威脅。

安全研究員Cesar Cerrudo也贊同Maurycy Prodeus的看法：“我試著利用這個漏洞進(jìn)行攻擊，我發(fā)現(xiàn)打滿補(bǔ)丁的Windows XP 中的IE8仍然會受到影響。”

Cesar Cerrudo同時也表示：“該漏洞的威脅級別應(yīng)該是‘高?！?。盡管它需要用戶的相關(guān)操作（按下F1鍵），但攻擊者可以通過很多種方法誘騙普通用戶進(jìn)行相關(guān)的操作?！?/P>

據(jù)悉，微軟公司的下一次補(bǔ)丁發(fā)布日為3月9日。

【編輯推薦】

1. 2010年P(guān)wn2Own黑客大賽將開戰(zhàn) 高額獎金與0day引入入勝
2. 微軟2010年2月安全公告 一次性發(fā)布13個安全補(bǔ)丁
3. Google的云計算，你真的安全嗎？
4. 自己動手打造公司內(nèi)網(wǎng)監(jiān)管利器
5. 利用HTTP-only Cookie緩解跨站點(diǎn)腳本攻擊