據(jù)國(guó)外媒體報(bào)道，微軟公司周日確認(rèn)，公司正在調(diào)查黑客在Windows XP系統(tǒng)中植入惡意軟件的VBScript漏洞。

iSEC安全研究中心的安全分析師Maurycy Prodeus上周五曾表示，攻擊者可以利用該漏洞向受害者PC注入惡意代碼。IE7和IE8用戶都存在危險(xiǎn)。微軟安全響應(yīng)中心（MSRC）高級(jí)主管杰瑞 -布萊恩特（Jerry Bryant）周日通過(guò)一份電子郵件表示：“微軟正在調(diào)查IE瀏覽器的VBScript和Windows Help文件存在的安全漏洞。目前的調(diào)查結(jié)果顯示，Windows Vista, Windows 7, Windows Server 2008和Windows Server 2008 R2都不受影響。”

Maurycy Prodeus稱此漏洞為“邏輯缺陷”，攻擊者通過(guò)偽裝作Windows Help文件（具備.hlp擴(kuò)展名）向用戶傳播惡意代碼，用戶將看到一個(gè)彈出提示按下F1鍵的窗口。由于需要用戶的合作，因此該漏洞被鑒定為“中等”級(jí)威脅。

安全研究員Cesar Cerrudo也贊同Maurycy Prodeus的看法：“我試著利用這個(gè)漏洞進(jìn)行攻擊，我發(fā)現(xiàn)打滿補(bǔ)丁的Windows XP 中的IE8仍然會(huì)受到影響。”

Cesar Cerrudo同時(shí)也表示：“該漏洞的威脅級(jí)別應(yīng)該是‘高危’。盡管它需要用戶的相關(guān)操作（按下F1鍵），但攻擊者可以通過(guò)很多種方法誘騙普通用戶進(jìn)行相關(guān)的操作。”

據(jù)悉，微軟公司的下一次補(bǔ)丁發(fā)布日為3月9日。

【編輯推薦】

1. 2010年P(guān)wn2Own黑客大賽將開(kāi)戰(zhàn) 高額獎(jiǎng)金與0day引入入勝
2. 微軟2010年2月安全公告 一次性發(fā)布13個(gè)安全補(bǔ)丁
3. Google的云計(jì)算，你真的安全嗎？
4. 自己動(dòng)手打造公司內(nèi)網(wǎng)監(jiān)管利器
5. 利用HTTP-only Cookie緩解跨站點(diǎn)腳本攻擊