不满微软漏洞修复方针 IE 0-day现身网络

安全研究人员Aviv Raff近日发布了准许某人控制正在运行Internet Explorer计算机的攻击代码。为以防万一，Raff并没有公布将这种攻击隐藏在何处。

Raff 在本周三的博客日志中写道，“在我博客的某个地方，我嵌入了一种能够利用这种0-day漏洞的概念验证型代码。”这个新漏洞影响着IE 7 与 IE 8，它能够准许一个攻击者在受害人计算机上运行未经认可的软件。Raff表示，在上周二已经将这个漏洞通知了微软，而微软到目前为止还没有为此打补丁。

Raff表示，如果他不公布这种漏洞，微软不会很快地应对这个安全问题。Raff表示，“虽然曾遵循微软的‘有责任揭发漏洞’方针，但微软在修正漏洞问题上太过缓慢。上次我使用它们的‘有责任揭发漏洞’方针时，它们花费了六个月的时间才修正了一行代码。”

要让Raff的攻击生效，黑客首先必须将少量的HTML代码放到一个网站上，然后使受害人相信可以使用那个网站上的一个特定的浏览器特性。

Raff已将代码放置到了他自己的网站上，而且在以后的几天里，他将提供一些关于人们为激发这个漏洞而必须做哪些操作的提示。在被激发时，Raff的这种概念验证型代码会在受害人计算机上启动微软的两个计算器软件，但此代码可被修改以执行某种恶意操作。

本周三，他将发布这个漏洞的完整细节，连同其概念验证型代码。微软未能立即对此发表评论。