北京時間12月31日消息，據國外媒體報道，安全廠商FireEye在微軟IE瀏覽器中發現了一個新的零時安全漏洞，并且該漏洞可能會被網絡犯罪分子廣泛利用。據悉，受到該漏洞影響只有IE6、7和8，IE9和10不存在這個安全漏洞。

Dustin Childs of Microsoft Trustworthy Computing對媒體表示：“微軟發布了2794220號安全公告，告知用戶IE6、7和8中存在一個安全漏洞。雖然我們正在積極開發一款簡單易用的一鍵式補丁來解決這個問題，我們強烈建議用戶采取公告中所述的緩解措施和應急方案。”

FireEye在12月21日發現，Council on Foreign Relations（CFR）網站已經被攻破并且被植入了惡意內容。CFR發言人大衛米克黑爾（David Mikhail）周四對The Washington Free Beacon稱：“CFR網站安全團隊已經知道了這個問題，目前正在進行調查。我們還將努力降低未來發生同類事件的可能性。”

據悉，惡意JavaScript只有在英語、簡體中文、繁體中文、日文、韓文或俄文版IE瀏覽器中才能利用惡意代碼。一旦初步檢測通過，JavaScript就會加載一個名為“today.swf”的Flash文件。這個文件最終會觸發heap spray攻擊并下載一個名為“xsainfo.jpg”的文件。

關于該漏洞的技術信息如下：

微軟IE包含了一個位于mshtml CDwnBindInfo之中的“釋放后使用”（use-after-free）漏洞。專門針對該漏洞編寫的JavaScript可能會令IE創建一個包含CDwnBindInfo對象的CDoc對象。這個對象也許不用移除指針就可被釋放，結果就會導致IE嘗試呼叫一個無效的內存地址。配合使用heap spray或其他技術，攻擊者就可以在這個地址中放置任意代碼。這個漏洞目前已經被廣泛利用，使用AdobeFlash來實現heap spray攻擊和使用Java來提供ROP（Return Oriented Programming）控件。

由于現在還沒有可用的補丁，FireEye在報告中提供了一些應急措施：使用微軟Enhanced Mitigation Experience Toolkit（EMET）、禁用IE中的Flash ActiveX控制、禁用IE中的Java。FireEye建議用戶不要使用IE8或更早版本的IE瀏覽器，升級到IE9或10，或是使用一款不同的瀏覽器比如谷歌Chrome。