Microsoft IE 脚本错误处理内存破坏漏洞

公告发布日期：2007年10月09日

更新日期：2007年10月10日

受影响的系统包括：

Microsoft Internet Explorer 7.0

Microsoft Internet Explorer 6.0 SP1

Microsoft Internet Explorer 6.0

Microsoft Internet Explorer 5.0.1 SP4

BUGTRAQ ID：25916

CVE(CAN) ID：CVE-2007-3893

Internet Explorer，作为微软操作系统中的默认WEB浏览器，近期发现了一个重要漏洞。这个漏洞存在于文件下载队列的处理过程中。恶意网站有可能利用这个漏洞来控制用户的系统。当Internet Explorer处理多个并行启动的文件下载尝试时，可能会导致内存破坏，使用已释放的对象。通过这种方式，攻击者可以构建特定的网页来利用这一漏洞。如果用户访问这些网页，该漏洞可能会允许远程执行指令。这一漏洞的发现要归功于Carsten H. Eiram。

有关该漏洞的更多信息，请查阅以下链接：

secunia 的研究报告：

微软的安全公告及补丁：

US-CERT的技术警报：

针对此问题，我们建议大家采取以下临时解决方案以降低威胁：

如果您无法立即安装补丁或升级，NSFOCUS建议您将Internet和本地intranet安全区域设置为“高”，以在运行ActiveX控件和活动脚本之前要求提示。

微软已经为此发布了一个重要的安全公告（MS07-057）以及相应的补丁：

MS07-057：Internet Explorer累积安全更新（939653）

链接：

请尽快采取相应措施，保护您的系统免受潜在威胁。我们强烈建议您尽快安装相关的安全补丁，以确保系统的安全性。