四个IE浏览器0day漏洞被公布
惠普公司的Zero-Day Initiative (ZDI)团队颁布了四个针对微软IE欣赏器的0day漏洞,这些漏洞可导致受益者主机被远程执行恶意代码。
所有这四个漏洞被报告给了微软,本来是针对桌面系统中的IE欣赏器,但之后发明这些漏洞同样影响Windows Phone系统中的IE。
这四个漏洞辨别影响了欣赏器的不同组件,都可以通过"强迫下载"打击加以利用。
漏洞介绍
以下便是这四个漏洞:
ZDI-15-359: AddRow越界内存读取漏洞
ZDI-15-360: Use-After-Free远程代码执行漏洞
ZDI-15-361: Use-After-Free远程代码执行漏洞
ZDI-15-362: Use-After-Free远程代码执行漏洞
四个漏洞中最危险的一个便是AddRow越界内存读取漏洞,它会影响IE处理某些特定数组的方式。
Zero Day Initiative团队在通告中写道:
"这个漏洞是有关IE处理HTML表格单元格数组的方式的,通过操控文档中的元素,打击者可以强迫IE越界访问HTML单元格数组,在当进步程下执行代码。"
另一个漏洞是关于IE处理CAttrArray工具的。通过操控文档中的元素,打击者可以利用这个漏洞强制重新利用一个已经释放了内存的悬垂指针,从而在目标机器上执行恶意代码。而另两个漏洞也十分相似,孕育发生于IE处理CTreePos和CCurrentStyle工具的过程中。
目前微软已经修复桌面系统中IE欣赏器的漏洞,但在Internet Explorer手机版中题目依然存在。
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
上一篇: 大学生网络兼职刷单,结果被骗5600元
下一篇: 禁令解禁 中国主机游戏或已错过黄金期
