惠普公司的安全團隊公布了四個針對微軟IE瀏覽器的0day漏洞,這些漏洞可導致受害者主機被遠程執行惡意代碼。 所有這四個漏洞被報告給了微軟,原本是針對桌面系統中的IE瀏覽器,但之后發現這些漏洞同樣影響Windows Phone系統中的IE。這四個漏洞分別影響了瀏覽器的不同組件,都可以通過“強迫下載”攻擊加以利用。 以下就是這四個漏洞:AddRow越界內存讀取漏洞;Use-After-Free遠程代碼執行漏洞;Use-After-Free遠程代碼執行漏洞;Use-After-Free遠程代碼執行漏洞。
四個漏洞中最危險的一個就是AddRow越界內存讀取漏洞,它會影響IE處理某些特定數組的方式。 該安全團隊在公告中寫道:“這個漏洞是有關IE處理HTML表格單元格數組的方式的,通過操控文檔中的元素,攻擊者可以強迫IE越界訪問HTML單元格數組,在當前進程下執行代碼。”另一個漏洞是關于IE處理CAttrArray對象的。通過操控文檔中的元素,攻擊者可以利用這個漏洞強制重新使用一個已經釋放了內存的懸垂指針,從而在目標機器上執行惡意代碼。而另兩個漏洞也十分相似,產生于IE處理CTreePos和CCurrentStyle對象的過程中。 目前微軟已經修復桌面系統中IE瀏覽器的漏洞,但在Internet Explorer手機版中問題依然存在。
京公網安備 11010502049343號