新華社天津9月24日專電(記者 張建新 王思北)國家計算機病毒應急處理中心通過對互聯網的監測發現,瀏覽器IE中存在一個內存破壞漏洞,即“零日”漏洞。一旦用戶點擊惡意攻擊者設置的惡意Web網頁,操作系統就會被遠程執行任意代碼指令,最終導致計算機用戶的個人私密信息數據(如網上銀行賬號、密碼等)被竊取。
該漏洞影響瀏覽器IE6、7、8、9四個版本,涵蓋計算機用戶常用的所有版本。
專家分析發現,瀏覽器IE的命令函數在實現上存在釋放後重用漏洞。遠程惡意攻擊者可能利用此漏洞通過誘使計算機用戶訪問惡意Web網頁來執行挂馬攻擊,最終控制計算機用戶的操作系統。
另外,惡意攻擊者通常會利用事先精心構造的惡意挂馬Web網頁,誘使計算機用戶點擊瀏覽該網頁,最終導致任意惡意代碼指令在計算機用戶操作系統中被執行。
在微軟公司瀏覽器IE補丁程序發佈前,專家建議計算機用戶暫時改用非瀏覽器IE內核,如Firefox,Chrome等。如繼續使用瀏覽器IE,建議採用如下防護措施:
1、在“IE選項”中設置“Internet”和“本地Intranet”的區域安全性設置為“高”以阻止ActiveX控件和活動腳本在這兩個區域中執行。
2、配置瀏覽器IE在運行活動腳本前提示,或者“Internet”和“本地Intranet”域中禁用活動腳本。
專家説,這一方法雖然能有效防範,但是會影響到正常Web網站的瀏覽。為盡可能降低這種影響,建議把信任的Web網站添加到“受信任的站點”選項中。