2006年2月6日,北京江民科技反病毒研究中心监测到,微软的两个新漏洞被公布在互联网上。
据介绍,两个漏洞中,一个是关于IE浏览器的远程拒绝服务攻击漏洞,攻击者可以编写恶意网页代码,用户一旦浏览此页面,IE就会崩溃。恶意脚本程序是通过调用Shockwave Flash文件来触发漏洞的。
另一个是HTML Help Workshop处理特殊.hhp文件时存在缓冲溢出漏洞,允许任意代码执行。据江民反病毒专家分析,此漏洞存在于hha.dll模块中,属于栈溢出漏洞。要通过网络进行远程任意代码执行的难度很大,因此危害程度有限。
江民反病毒专家介绍,目前微软还没有针对上述2新漏洞发布任何补丁程序,江民科技将密切关注漏洞动态,并提醒广大用户,在上网浏览时不要轻易进入不明网站,也不要随意下载打开.hhp文件。