微軟警告用戶，稱其IE瀏覽器中的一個新的零日漏洞正在被使用drive-by攻擊的攻擊者利用。

IE 6、7和8中存在的內存分配錯誤可以使攻擊者遠程執行代碼，訪問受害者的機器。微軟表示已經發現了一個攻擊網站以IE漏洞為攻擊目標。IE 9測試版還未受到該攻擊的影響。

在博客中，微軟信任計算組響應通信小組經理Jerry Bryant表示微軟工程師正在研究一個自動“fix-it”修復程序，以便在發布正式補丁之前使用。目前，該問題還沒達到發布帶外補丁的條件。

Drive-by攻擊已經成為越來越常見的攻擊方法。這種攻擊是通過誘騙用戶去訪問電子郵件信息、即時信息中的惡意網站，或通過搜索引擎投毒來實施的。合法網站也經常會被用來托管攻擊代碼。博客、社交網站、Web論壇也可被用來托管drive-by攻擊。

該安全咨文還列出了許多緩解該威脅的應對措施，其中包括使用純文本格式讀取電子郵件信息；在讀取html數據時，用客戶的級聯樣式表來重載；在IE 7中進行數據執行保護（DEP）；部署增強減災體驗工具（EMET，Enhanced Mitigation Experience Toolkit）。

微軟表示攻擊者可以利用drive-by攻擊網站，或者那些接受或托管用戶提供內容的受感染網站（如博客和社交網站）來利用該漏洞。此外，發布廣告的網站也可以被用來觸發一種以該漏洞為目標的攻擊。

微軟表示，“但是，總的來說，攻擊者不能強迫用戶來訪問這些網站，相反，攻擊者可能會誘使用戶去訪問網站，一般是通過讓用戶點擊電子郵件或即時通信信息中的鏈接，來讓用戶訪問攻擊者的網站。”

【編輯推薦】

1. 微軟正在調查IE瀏覽器CSS bug
2. 微軟發布IE緊急更新阻止最近發生的攻擊行為