近日在加拿大蒙特利爾舉行的RECon會議上，惠普團隊披露了一個32位Windows系統的IE漏洞，在其發布的一個關于攻擊細節的白皮書，其中包括對默認IE配置的修改攻擊，以及對IE防護提升的建議。據惠普方面透露，在將細節公布于眾之前，微軟已經明確表示不會修復該漏洞。

這個IE漏洞基于ASLR（Address Space Layout Randomization），ASLR是一種針對緩沖區溢出的安全保護技術，通過對堆、棧、共享庫映射等線性區布局的隨機化，通過增加攻擊者預測目的地址的難度，防止攻擊者直接定位攻擊代碼位置，達到阻止溢出攻擊的目的。據研究表明，ASLR可以有效的降低緩沖區溢出攻擊的成功率，如今Linux、FreeBSD、Windows等主流操作系統都已采用了該技術。

據惠普研究人員統計，該漏洞影響數百萬的32位win系統。盡管惠普安全人員強烈表示微軟應及時修復該漏洞，但微軟依然不為所動，微軟給出的理由的是這個問題不影響IE的默認配置，不存在潛在風險，也不會影響大量的用戶，因此沒有必要花費力氣修復。另外就是將來的IE趨勢都是64位，32位將逐漸退出而且MemoryProtect（存儲保護）也會讓IE漏洞數量下降。這樣的理由，你能接受？