> 站內搜索
首頁> 熱點資訊- 通知公告- 學生服務指南- 教師服務指南- 操作手冊- 視頻教程- 操作教程- 工具軟件- 手機應用- 常見問題-
關于微軟瀏覽器IE 8 CGenericElement對象內存釋放重用零日漏洞的安全公告
發布日期:

安全公告編號:CNTA-2013-0014

近日,國家信息安全漏洞共享平臺(CNVD)收錄了Microsoft IE 8 CGenericElement對象內存釋放重要漏洞(CNVD-2013-23894,引用CVE-2013-1347)。利用漏洞,遠程攻擊者可通過誘使用戶訪問惡意網頁發起掛馬攻擊,控制用戶主機,目前,針對漏洞的利用代碼已經公開,對IE 8用戶構成較為嚴重的威脅。

一、漏洞情況分析

IE 8沒有正確處理CGenericElement對象的引用關系,惡意攻擊者通過精心構造的頁面可以使CGenericElement對象被錯誤地釋放掉,進而導致內存釋放后重用。遠程攻擊者可以利用漏洞構造掛馬頁面,誘使用戶訪問,發起大規模掛馬攻擊。

二、漏洞影響范圍

CNVD對該漏洞的綜合評級為“高危”。受該漏洞影響的IE瀏覽器軟件版本包括IE 8,而IE 6、7、9和IE 10不受此漏洞影響。

目前,互聯網上已經披露了該漏洞的攻擊利用代碼且有國內外安全組織已經監測到針對漏洞的大規模攻擊情況。根據互聯網報道的相關情況,該漏洞曾在近期導致美國勞工部(Department of Labor,U.S.A)網站服務器被黑客入侵。

三、漏洞處置建議

目前,微軟公司尚未提供漏洞補丁,但已發布了針對此漏洞的安全公告。在此期間,建議用戶采取以下措施防范漏洞威脅:

(1)建議IE用戶進行版本升級,采用IE9或IE 10;

(2)對于未進行升級的IE用戶,通過安裝主機安全防護軟件以及更改提高IE安全配置等級等方式,一定程度上能阻止網頁中異常的ActiveX控件以及惡意腳本的運行。

相關安全公告鏈接參考如下:

http://technet.microsoft.com/en-us/security/advisory/2847140

http://www.cnvd.org.cn/flaw/show/CNVD-2013-23894

  • 信息中心
    地址:廣西理工職業技術學校理工樓二樓
    信息中心辦公室
    電話:0771-2387063
    服務郵箱:gxlgxxzx@163.com
    辦公時間:除節假日外每天
    (早上8:00-12:00、下午15:00-17:30)
  • 校園網服務熱線
    服務電話:
    0771-2387063
    服務郵箱:
    gxlgxxzx@163.com
  • 校園網賬戶繳費
    地點:理工樓二樓信息中心辦公室
    開戶掛失時間:正常上班時間
    (早上8:00-12:00、下午15:00-17:30)
  • 多媒體教室服務熱線
    維修維護地點:
    理工樓二樓信息中心維修室
    熱線電話:0771-2387063
    報修時間:正常上班時間
    (早上8:00-12:00、下午15:00-17:30)