據(jù)外媒報道稱，微軟已經(jīng)停止為Windows 7發(fā)布新的安全更新了，理由是IE存在嚴(yán)重漏洞。

按照微軟的說法，這個遠(yuǎn)程代碼執(zhí)行漏洞存在于IE瀏覽器處理腳本引擎對象的內(nèi)存中。該漏洞可能以一種攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼的方式來破壞內(nèi)存。成功利用此漏洞的攻擊者可以獲得與當(dāng)前用戶相同的用戶權(quán)限。

如果當(dāng)前用戶使用管理用戶權(quán)限登錄，則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。然后，攻擊者可能會安裝程序。查看，更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新帳戶。

在網(wǎng)絡(luò)攻擊情境中，攻擊者可能會制作專門利用該IE漏洞的特制網(wǎng)站，然后誘使用戶查看該網(wǎng)站。攻擊者能夠訪問托管在IE渲染引擎上的應(yīng)用或者微軟Office辦公文檔中嵌入標(biāo)記為“初始化安全”的ActiveX控件。攻擊者還可能利用受感染的網(wǎng)站，接受或托管用戶提供的內(nèi)容或廣告。這些網(wǎng)站可能包含可以利用此漏洞的特制內(nèi)容。

該漏洞利用可以通過任何可承載HTML的應(yīng)用程序（例如文檔或PDF）來觸發(fā)，并且在Windows 7、8.1和10上具有“嚴(yán)重”等級，并且目前正被黑客廣泛使用。 Microsoft將發(fā)布針對所有這些操作系統(tǒng)以及Windows Server 2008、2012和2019的補(bǔ)丁程序。