微軟昨日證實,他們正在調(diào)查一個新的0day漏洞,該漏洞存在于MHTML中,會導(dǎo)致信息泄露,影響所有Windows平臺,包括Windows XP、Vista、Windows 7和所有版本的Windows Server。 該漏洞是由于MHTML解析文檔中內(nèi)容模塊的MINE格式請求的方式所造成的,該漏洞可以允許攻擊者在錯誤的安全上下文中執(zhí)行腳本。成功利用該漏洞的攻擊者能在用戶的IE實例中注入客戶端腳本,該腳本會導(dǎo)致內(nèi)容欺詐、信息泄露或采取其它任何行動。
微軟表示,網(wǎng)上已經(jīng)出現(xiàn)了利用該漏洞進行攻擊的代碼示例,不過當(dāng)前并未見到任何用戶受到攻擊。微軟當(dāng)前正在調(diào)查這個漏洞,很快就會發(fā)布修復(fù)該漏洞的補丁。在安全公告2501696中,微軟提供了一個修復(fù)攻擊,用戶可以執(zhí)行該工具來鎖定MHTML協(xié)議。