信息出自:深圳热线    

-------------------------------------------------------------------------------

北京时间11月5日消息，美国计算机应急响应小组(US-CERT)发布安全警告，在IE浏览器中存在一个严重的安全漏洞，入侵者可以利用HTML电子邮件信息或恶意网页控制目标计算机系统。安全研究人员表示，由于利用代码已经在公开邮件列表上发布，因此这一漏洞的危险性特别高。

根据美国计算机应急响应小组发布的公告，当IE处理“frame”和“iframe”HTML元素(HTML elements)的两种属性时就可能会出现缓冲区溢出，新发现的IE漏洞正是利用了这一点。

研究人员表示，当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、Outlook Express、AOL以及Lotus Notes等依赖于WebBrowser ActiveX控件的软件查看HTML电子邮件时，都有可能会受到攻击。

Secunia安全公司宣布，目前已经确定，Windows XP SP1即使安装了所有的补丁，它所带的IE 6.0浏览器仍然存在这一漏洞，而在安装了所有补丁的Windows 2000上使用的IE 6.0浏览器也不能幸免。目前微软还没有发布相关的安全补丁。不过安装了Windows XP SP2的系统就不存在这一漏洞，这表明微软在安全方面的努力已经收到了一定的成效。

除了安装Windows XP SP2，系统管理员还可以禁用活动脚本(active scripting)阻止访问非主动链接，以及在电子邮件中使用纯文本，这样也可以减少部分危险性。此外，及时更新反病毒软件的病毒库也可以起到一定的防护作用。