惠普曝光Win7/Win8.1系統(tǒng)IE漏洞，微軟：不打算修復(fù)

Win7之家（ m.airtaxifl.com）：惠普曝光Win7/Win8.1系統(tǒng)IE漏洞，微軟：不打算修復(fù)

近日在加拿大蒙特利爾舉行的RECon會(huì)議上，惠普?qǐng)F(tuán)隊(duì)披露了一個(gè)32位Windows系統(tǒng)的IE漏洞，影響Win7/Win8.1系統(tǒng)，在其發(fā)布的一個(gè)關(guān)于攻擊細(xì)節(jié)的白皮書，其中包括對(duì)默認(rèn)IE配置的修改攻擊，以及對(duì)IE防護(hù)提升的建議。據(jù)惠普方面透露，在將細(xì)節(jié)公布于眾之前，微軟已經(jīng)明確表示不會(huì)修復(fù)該漏洞。

這個(gè)IE漏洞基于ASLR（Address Space Layout Randomization），ASLR是一種針對(duì)緩沖區(qū)溢出的安全保護(hù)技術(shù)，通過對(duì)堆、棧、共享庫映射等線性區(qū)布局的隨機(jī)化，通過增加攻擊者預(yù)測目的地址的難度，防止攻擊者直接定位攻擊代碼位置，達(dá)到阻止溢出攻擊的目的。據(jù)研究表明，ASLR可以有效的降低緩沖區(qū)溢出攻擊的成功率，如今Linux、FreeBSD、Windows等主流操作系統(tǒng)都已采用了該技術(shù)。

據(jù)惠普研究人員統(tǒng)計(jì)，該漏洞影響數(shù)百萬的32位win系統(tǒng)。盡管惠普安全人員強(qiáng)烈表示微軟應(yīng)及時(shí)修復(fù)該漏洞，但微軟依然不為所動(dòng)，微軟給出的理由的是這個(gè)問題不影響IE的默認(rèn)配置，不存在潛在風(fēng)險(xiǎn)，也不會(huì)影響大量的用戶，因此沒有必要花費(fèi)力氣修復(fù)。另外就是將來的IE趨勢(shì)都是64位，32位將逐漸退出而且MemoryProtect（存儲(chǔ)保護(hù)）也會(huì)讓IE漏洞數(shù)量下降。