攻擊者能夠利用該漏洞和相關(guān)技術(shù)繞過(guò)兩個(gè)Windows安全功能:DEP(數(shù)據(jù)執(zhí)行保護(hù))和ASLR(地址空間布局隨機(jī)化),這個(gè)問(wèn)題是由“mshtml.dll”動(dòng)態(tài)鏈接庫(kù)文件中的一個(gè)“use-after-free”錯(cuò)誤引起的����。當(dāng)處理一個(gè)包含各種“@import”規(guī)則的參考CSS(層疊樣式表)文件的網(wǎng)頁(yè)的時(shí)候,這個(gè)錯(cuò)誤允許遠(yuǎn)程攻擊者通過(guò)一個(gè)特殊制作的網(wǎng)頁(yè)執(zhí)行任意代碼��。
微軟當(dāng)前仍在調(diào)查中���,本月的安全補(bǔ)丁也已經(jīng)在上周發(fā)布過(guò)���,微軟可能會(huì)在明年1月份的補(bǔ)丁修復(fù)該漏洞,如果事態(tài)嚴(yán)重���,微軟也可能為此發(fā)布非常規(guī)補(bǔ)丁����。
