漏洞信息: IE浏览器用来支持WEB文件夹以及打印功能的Iepeers.dll组件存在一个无效指针漏洞。如果用户访问特定的格式的网页文件或是office文档时可能触发此漏洞,成功的攻击可能会使攻击者以当前用户的权限执行任意命令。攻击者可以在网页中利用javascript脚本调用特定的网页标签来利用该漏洞。
漏洞危害:目前该漏洞的信息已经在地下传播,相信在未来的几天内攻击代码就可能会被公布。这个漏洞很可能像前段时间的极光漏洞一样被大面积的用来进行网页挂马攻击。目前测试的信息显示攻击对IE 6和IE 7是有效的。 解决办法:目前厂商已经针对该漏洞发布了相应的通告,但是还未发布补丁程序。建议随时关注厂商的动态: http://www.microsoft.com/technet/security/advisory/981374.mspx?pf=true 在没有补丁程序之前,您可以使用以下方法减缓漏洞带来的风险: 方法一:暂时使用其他的浏览器替代IE浏览器。 方法二:修改系统对iepeers.dll文件的访问权限。 对32位系统,执行如下命令: Echo y| cacls %WINDIR%SYSTEM32iepeers.DLL /E /P everyone:N 对64位系统,执行如下命令: Echo y| cacls %WINDIR%SYSWOW64iepeers.DLL /E /P everyone:N 方法三:适合高级用户。可在系统本地安全策略中,将IE浏览器主程序Iexplore.exe的权限设置为“普通用户”(具体步骤略)。
网络中心
2010年3月11日