資安業者確認Google工程師發現的IE零時差漏洞

法國資安廠商VUPEN Security週三(1月5日)發布警告表示，已經確認之前Google工程師Michal Zalewski所所提到的可能IE零時差漏洞，該IE漏洞可能讓遠端攻擊者取得系統的完整控制權。

VUPEN說明，駭客在網頁中夾帶特殊Jscript或DOM(Document Object Model)物件，以誘發mshtml.dll程式庫中「釋放後使用記憶體」(use-after-free)錯誤的漏洞，來取得系統的控制權，尤其是Windows XP SP3中執行IE8的系統，Vista、7、Server 2003、Server 2008、Server 2008 R2等作業系統若使用IE8亦受影響。

該公司將這個漏洞列為最危險的「重大」（critical）等級，目前還沒有修補的方式。稍後該公司在Twitter上表示，因為很難重現狀況，驗證該漏洞非常不易。

Michal Zalewski認為不明人士已經取得其開發的Fuzzy弱點偵測工具及文件，而在日前將相關資料公布，包括他與微軟間超過兩年的討論。微軟在要求他延緩釋出資料不果之後，指責他這樣的作法放大了該漏洞的影響，讓更多人暴露在危險之中。（編譯/沈經）