安全漏洞：CN-VA08-093

发布日期：2008年12月10日

漏洞类型：远程执行代码

漏洞评估：

受影响的软件：

　　
Windows XP、Windows2003 浏览器 Internet Explorer 7漏洞描述：

 

根据相关支撑单位报告，发现微软的IE7浏览器中存在一严重的安全漏洞，当处理带有攻击代码的XML文件时会出现异常错误，并执行攻击者编写的任意代码。攻击者可针对该漏洞编写特定的XML文件，并通过网页、聊天工具、电子邮件等媒介引诱IE7用户访问实施攻击。受攻击用户将可能被植入木马或其它恶意程序，导致系统被黑客控制，信息被窃取。需要特别引起注意的是，微软2008年12月9日及以前发布的安全补丁尚不能修补该漏洞。目前已经在互联网上发现黑客针对该漏洞编制的木马攻击程序，并通过网页挂马方式发起攻击。

 

防范措施：

 
1. 关注微软官方近期发布的新的漏洞公告和补丁程序，及时下载更新；

 

2. 在此之前，用户应尽可能只访问安全管理工作较好的网站；

 

3. 用户应谨慎打开在邮件、论坛、聊天工具中收到的网页链接或XML文件；

 

4. 开启WINDOWS系统中的数据执行保护（DEP）功能（Windows XP SP2已经预设为启用）：

我的电脑——系统属性——高级——性能——数据执行保护。

 

5. 推荐使用IE6.0、Firefox、Opera、Chrome等浏览器，不要使用IE7浏览器（包括使用IE7内核的遨游、世界之窗、腾讯TT等浏览器），等有微软官方发布的补丁，打上后再使用。