浏览器IE中存在一个内存破坏漏洞,即“零日”漏洞。该漏洞影响浏览器IE6、7、8、9四个版本,涵盖计算机用户常用的所有版本。一旦计算机用户点击恶意攻击者设置的恶意Web网页,操作系统就会被远程执行任意代码指令,最终导致计算机用户的个人私密信息数据(诸如:网上银行账号、密码等)被窃取。
我们分析发现,浏览器IE的命令函数在实现上存在释放后重用漏洞。远程恶意攻击者可能利用此漏洞通过诱使计算机用户访问恶意Web网页来执行挂马攻击,最终控制计算机用户的操作系统。浏览器IE的命令函数在执行一个指令时,会先触发相应的事件函数,恶意攻击者可在事件函数中重写html页面,致使某个对象被释放掉,但此时该命令函数的操作还未完成,这就导致了释放后的重用漏洞。
另外,恶意攻击者通常会利用事先精心构造的恶意挂马Web网页,诱使计算机用户点击浏览该网页,最终导致任意恶意代码指令在计算机用户操作系统中被执行。