| 天极软件专题专区精选 | ||
| Google专区 | POPO专区 | QQ专区 |
| Flash MX 视频教程 | Photoshop视频教程 | 网页设计视频教程 |
| PowerPoint动画演示教程 | Excel动画教程集 | Word动画演示教程 |
| 特洛伊木马专区 | 黑客知识教程专区 | 注册表应用专区 |
| Windows API开发专区 | 网络编程专区 | VB数据库编程专区 |
一名安全专家警告称,微软IE浏览器软件图像渲染功能中的一个安全缺陷能够使黑客在有缺陷的计算机上远程执行代码。
安全顾问Michal Zalewski 表示,他已经在IE处理JPEG图像的功能中发现了大量可能的缺陷。Zalewski说,其中的一个缺陷可能被黑客用来远程执行任意的代码——这类攻击通常被安全厂商认为是“危急的”。
Zalewski已经在网站上发布了4 幅能够利用这些缺陷的概念证明型图像。即使已经安装了SP2 ,IE 6也可能因为这4 幅图像之一而崩溃。据SecurityFocus 网站上的公告称,以前版本的IE也可能会受到影响。其中的二幅图像还能够造成内存和CPU 问题。
Zalewski表示,在公开发布前,他没有向微软报告这些缺陷。他说,根据我的经验,与微软讨论安全问题是完全没有必要的,会给研究人员带来许多麻烦,尤其是在研究人员只有一例崩溃事例,而没有可运行的缺陷利用代码的情况下。因此微软不会事先得到通知。
微软的一名代表称,微软正在对IE中可能存在缺陷的报告进行调查,但我们还不知道有利用这些缺陷发起的攻击出现。根据调查的结果,微软将采取恰当的措施,保护我们的客户不会受到攻击。微软担心研究人员以这种方式公布安全缺陷是不负责任的,增加了计算机用户受到攻击的危险。
本周早些时候,IE、MSN Messenger 中发现了另一个图像处理安全缺陷。但微软在最新发布的补丁软件中已经修正了该缺陷。
