当前位置:安全行业动态 → 正文

四个IE浏览器0day漏洞被公布

责任编辑:editor006 |来源:企业网D1Net  2015-07-28 17:19:44 本文摘自:Freebuf

惠普公司的安全团队公布了四个针对微软IE浏览器的0day漏洞,这些漏洞可导致受害者主机被远程执行恶意代码。 所有这四个漏洞被报告给了微软,原本是针对桌面系统中的IE浏览器,但之后发现这些漏洞同样影响Windows Phone系统中的IE。这四个漏洞分别影响了浏览器的不同组件,都可以通过“强迫下载”攻击加以利用。 以下就是这四个漏洞:AddRow越界内存读取漏洞;Use-After-Free远程代码执行漏洞;Use-After-Free远程代码执行漏洞;Use-After-Free远程代码执行漏洞。

四个漏洞中最危险的一个就是AddRow越界内存读取漏洞,它会影响IE处理某些特定数组的方式。 该安全团队在公告中写道:“这个漏洞是有关IE处理HTML表格单元格数组的方式的,通过操控文档中的元素,攻击者可以强迫IE越界访问HTML单元格数组,在当前进程下执行代码。”另一个漏洞是关于IE处理CAttrArray对象的。通过操控文档中的元素,攻击者可以利用这个漏洞强制重新使用一个已经释放了内存的悬垂指针,从而在目标机器上执行恶意代码。而另两个漏洞也十分相似,产生于IE处理CTreePos和CCurrentStyle对象的过程中。 目前微软已经修复桌面系统中IE浏览器的漏洞,但在Internet Explorer手机版中问题依然存在。

关键字:IE浏览器CAttrArray

本文摘自:Freebuf

x 四个IE浏览器0day漏洞被公布 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

四个IE浏览器0day漏洞被公布

责任编辑:editor006 |来源:企业网D1Net  2015-07-28 17:19:44 本文摘自:Freebuf

惠普公司的安全团队公布了四个针对微软IE浏览器的0day漏洞,这些漏洞可导致受害者主机被远程执行恶意代码。 所有这四个漏洞被报告给了微软,原本是针对桌面系统中的IE浏览器,但之后发现这些漏洞同样影响Windows Phone系统中的IE。这四个漏洞分别影响了浏览器的不同组件,都可以通过“强迫下载”攻击加以利用。 以下就是这四个漏洞:AddRow越界内存读取漏洞;Use-After-Free远程代码执行漏洞;Use-After-Free远程代码执行漏洞;Use-After-Free远程代码执行漏洞。

四个漏洞中最危险的一个就是AddRow越界内存读取漏洞,它会影响IE处理某些特定数组的方式。 该安全团队在公告中写道:“这个漏洞是有关IE处理HTML表格单元格数组的方式的,通过操控文档中的元素,攻击者可以强迫IE越界访问HTML单元格数组,在当前进程下执行代码。”另一个漏洞是关于IE处理CAttrArray对象的。通过操控文档中的元素,攻击者可以利用这个漏洞强制重新使用一个已经释放了内存的悬垂指针,从而在目标机器上执行恶意代码。而另两个漏洞也十分相似,产生于IE处理CTreePos和CCurrentStyle对象的过程中。 目前微软已经修复桌面系统中IE浏览器的漏洞,但在Internet Explorer手机版中问题依然存在。

关键字:IE浏览器CAttrArray

本文摘自:Freebuf

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^