微软计划预先释放出一个“高危”隐患的安全公告,这个隐患会导致用户很容易就被黑客所操纵。
这个安全公告承认在ie中存在一个导致代码执行的漏洞,这个漏洞是由secunia research发现并公开报道的。
secunia表示,这个隐患是因为在处理“createtextrange()”方法调用过程中出错而引起的,而这个方法用于一个单选按钮控件中。它还表示,这个隐患可以被恶意网站利用,通过把程序流重定向到堆上,可以使内存溢出;成功利用之后,当用户浏览恶意网站的时候就会导致任意代码的执行。
secunia透露,这个隐患已经证实存在于打好补丁的ie6.0和windows xp sp2中,同时也证实了ie7 beta2预览版也受这个隐患的影响。
而微软的安全响应中心(msrc)表示,在mix06上推出的ie7 beta2预览版则不受这个隐患影响。
msrc的一位项目经理lennart wistrand建议ie用户禁用active scripting,以预防可能的攻击。
