微軟證實日前曝光的一個IE漏洞可能會導致遠程代碼攻擊。這是一家法國安全公司Vupen在本月初曝光的oday漏洞，微軟隨后開展了調查，就在Vupen公開了攻擊代碼的同時，微軟也發布了安全公告，警告用戶避免受到此漏洞的影響。

　　微軟當前正在開發補丁以便能盡快修復該漏洞，在補丁未完成前微軟建議用戶開啟防火墻，及時升級軟件，并且在機器上安裝殺毒軟件。該漏洞存在于IE的HTML渲染引擎中，遠程攻擊者可以利用該漏洞繞過Windows 7和Vista等系統的DEP（數據執行保護）和ASLR（地址空間布局隨機化），進而執行惡意代碼。

　　這個問題是由“mshtml.dll”動態鏈接庫文件中的一個“use-after-free”錯誤引起的。當處理一個包含各種“@import”規則的參考CSS（層疊樣式表）文件的網頁的時候，這個錯誤允許遠程攻擊者通過一個特殊制作的網頁執行任意代碼。

　　微軟公布了受影響的軟件：

　　Windows XP SP3、Windows Server 2003 SP2平臺上的IE6；

　　Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2平臺上的IE7；

　　Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2、Windows 7、Windows Server 2008 R2平臺上的IE8。