发布日期：2014-05-21
更新日期：2014-05-22

受影响系统：

Microsoft Internet Explorer 8

描述：

---

BUGTRAQ  ID: 67544
CVE(CAN) ID: CVE-2014-1770

Internet Explorer是微软公司推出的一款网页浏览器。

Internet Explorer 8处理CMarkup对象中存在安全漏洞。分配首先发生在CMarkup::CreateInitialMarkup中。执行某些JS代码后，然后调用CollectGarbage，这时发生释放。通过篡改文档的元素，攻击者可强制重新使用释放后的摇摆指针。攻击者可利用此漏洞在当前进程的上下文中执行任意代码。

<*来源：Peter 'corelanc0d3r' Van Eeckhoutte
  
  链接：http://zerodayinitiative.com/advisories/ZDI-14-140/
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：



*将 Internet Explorer 配置为在 Internet 和本地 Intranet 安全区域中运行活动脚本或禁用活动脚本之前进行提示
* 将 Internet 和本地 Intranet 安全区域设置设为“高”，以便在这些区域中阻止 ActiveX 控件和活动脚本

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp

浏览次数：2901
严重程度：0（网友投票）