微软警告用户，称其IE浏览器中的一个新的零日漏洞正在被使用drive-by攻击的攻击者利用。

IE 6、7和8中存在的内存分配错误可以使攻击者远程执行代码，访问受害者的机器。微软表示已经发现了一个攻击网站以IE漏洞为攻击目标。IE 9测试版还未受到该攻击的影响。

在博客中，微软信任计算组响应通信小组经理Jerry Bryant表示微软工程师正在研究一个自动“fix-it”修复程序，以便在发布正式补丁之前使用。目前，该问题还没达到发布带外补丁的条件。

Drive-by攻击已经成为越来越常见的攻击方法。这种攻击是通过诱骗用户去访问电子邮件信息、即时信息中的恶意网站，或通过搜索引擎投毒来实施的。合法网站也经常会被用来托管攻击代码。博客、社交网站、Web论坛也可被用来托管drive-by攻击。

该安全咨文还列出了许多缓解该威胁的应对措施，其中包括使用纯文本格式读取电子邮件信息；在读取html数据时，用客户的级联样式表来重载；在IE 7中进行数据执行保护（DEP）；部署增强减灾体验工具（EMET，Enhanced Mitigation Experience Toolkit）。

微软表示攻击者可以利用drive-by攻击网站，或者那些接受或托管用户提供内容的受感染网站（如博客和社交网站）来利用该漏洞。此外，发布广告的网站也可以被用来触发一种以该漏洞为目标的攻击。

微软表示，“但是，总的来说，攻击者不能强迫用户来访问这些网站，相反，攻击者可能会诱使用户去访问网站，一般是通过让用户点击电子邮件或即时通信信息中的链接，来让用户访问攻击者的网站。”

【编辑推荐】

1. 微软正在调查IE浏览器CSS bug
2. 微软发布IE紧急更新阻止最近发生的攻击行为