昨天（2009年11月21日），Symantec发布了IE的一个0day安全漏洞的消息。关于这个消息，截止本文发布时，在中文社区里还没有报导。这是一个关于IE6/IE7处理CSS时的一个漏洞（关于IE和CSS的BUG）。如果你目前还在使用IE6/IE7，那你现在可能是你升级的时候了，当然，有很多人说IE8是没有问题的，但我个人还是建议在补丁出来之前先使用Firefox或Chrome。

根据Symantec的的报告，他们在第一时间内测试了那个“Exploit Code”（攻击代码），根据测试结果表时，那个JavaScript的攻击代码并不是100%的可靠，而且很不可靠，但安全专家相信，100%完全可靠的“攻击代码”将会马上出现。这意味着，这段攻击代码会马上如潮水一样地放在各个有恶意的网站上，然后，所有的IE6/IE7的，打开JavaScript的用户都会被危及。

目前，这段攻击代码，虽然很不可靠，但已经被证明在IE6/IE7的 Windows XP SP3上是可靠的，目前还没有相关报告说明有多少台电脑中招了，但我相信，在过去的这个周末，一定有一些人在拼命地在改善这段攻击代码，他们要赶在相关的补丁出来之前。而Microsoft，相信他还是和以前一样，一定要等到攻击很广泛的时候才会开始真正把补丁提上日程。

最后，说一下攻击代码，这个代码是在Bugtraq邮件组中，这段攻击代码如下所示，这段代码攻击性并不可靠。

<!--
securitylab.ir
K4mr4n_st () yahoo com
-->
<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd";>
http://www.w3.org/1999/xhtml;>
   

    

       
       
       
 
       
   
   

 

转载于酷壳CoolShell 无删改 仅以此纪念陈皓(左耳朵耗子)