修復(fù)MHTML中0day漏洞的補(bǔ)丁

 微軟昨日證實(shí)，他們正在調(diào)查一個(gè)新的0day漏洞，該漏洞存在于MHTML中，會(huì)導(dǎo)致信息泄露，影響所有Windows平臺(tái)，包括Windows XP、Vista、Windows 7和所有版本的Windows Server。 該漏洞是由于MHTML解析文檔中內(nèi)容模塊的MINE格式請(qǐng)求的方式所造成的，該漏洞可以允許攻擊者在錯(cuò)誤的安全上下文中執(zhí)行腳本。成功利用該漏洞的攻擊者能在用戶(hù)的IE實(shí)例中注入客戶(hù)端腳本，該腳本會(huì)導(dǎo)致內(nèi)容欺詐、信息泄露或采取其它任何行動(dòng)。

微軟表示，網(wǎng)上已經(jīng)出現(xiàn)了利用該漏洞進(jìn)行攻擊的代碼示例，不過(guò)當(dāng)前并未見(jiàn)到任何用戶(hù)受到攻擊。微軟當(dāng)前正在調(diào)查這個(gè)漏洞，很快就會(huì)發(fā)布修復(fù)該漏洞的補(bǔ)丁。在安全公告2501696中，微軟提供了一個(gè)修復(fù)攻擊，用戶(hù)可以執(zhí)行該工具來(lái)鎖定MHTML協(xié)議。