您现在所在的位置: 首页  中心动态
   

入网须知

入网流程

入网申请

上网设置

资费标准

联系网管

网络硬盘

网络杀毒

OA系统

教学资源

视频点播

电子图书馆

病毒防护

网络服务

FTP服务

国家精品课程建设
国家精品课程网
中国职业技术教育网
天空软件站
驱动之家
中关村在线
关于微软浏览器IE 8 CGenericElement对象内存释放重用零日漏洞的安全公告
文章来源:互联网   发布者:liupeng   发布时间:2014-09-01   阅读:368

    近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft IE 8 CGenericElement对象内存释放重要漏洞(CNVD-2013-23894,引用CVE-2013-1347)。利用漏洞,远程攻击者可通过诱使用户访问恶意网页发起挂马攻击,控制用户主机,目前,针对漏洞的利用代码已经公开,对IE 8用户构成较为严重的威胁。

    一、漏洞情况分析

    IE 8没有正确处理CGenericElement对象的引用关系,恶意攻击者通过精心构造的页面可以使CGenericElement对象被错误地释放掉,进而导致内存释放后重用。远程攻击者可以利用漏洞构造挂马页面,诱使用户访问,发起大规模挂马攻击。

    二、漏洞影响范围

    CNVD对该漏洞的综合评级为“高危”。受该漏洞影响的IE浏览器软件版本包括IE 8,而IE 6、7、9和IE 10不受此漏洞影响。

    目前,互联网上已经披露了该漏洞的攻击利用代码且有国内外安全组织已经监测到针对漏洞的大规模攻击情况。根据互联网报道的相关情况,该漏洞曾在近期导致美国劳工部(Department of Labor,U.S.A)网站服务器被黑客入侵。

    三、漏洞处置建议

    目前,微软公司尚未提供漏洞补丁,但已发布了针对此漏洞的安全公告。在此期间,建议用户采取以下措施防范漏洞威胁:

    (1)建议IE用户进行版本升级,采用IE9或IE 10;

    (2)对于未进行升级的IE用户,通过安装主机安全防护软件以及更改提高IE安全配置等级等方式,一定程度上能阻止网页中异常的ActiveX控件以及恶意脚本的运行。


【 字体: 打印本页 | 关闭窗口
 

 0913-2221251 0913-2221054/ Email: gtxywlzx@gtxy.cn,testluoli@gtxy.cn
地址:陕西省渭南市站北街东段一号   邮政编码:714000
Copyright© 陕西铁路工程职业技术学院      陕ICP备06012276号