微软周四说IE 9可以防止用户受最近公开的IE溢出漏洞影响。安全研究者周三在一个黑客大赛中成功地在IE 8利用以前未知的漏洞。爱尔兰的安全研究者Stephen Fewer在年度的CanSecWest Pwn2Own 黑客大赛使用了3个不同的漏洞来利用微软安全软件的缺陷。Fewer,一个反向工程专家使用两个不同的IE 8的0-day漏洞来访问一个第三方缺陷,并绕开了微软的IE保护的模式的沙盒。
这次攻击成功绕过了DEP(Data Execution Prevention数据执行保护)和ASLR(Address Space Layout Randomization地址空间布局随机化),两个Windows 7 X64的关键的安全保护机制。“我不得不驾驭多个漏洞来让它更可靠工作,”Fewer在接受ZNDET采访时说。“写出这个利用漏洞的程序是个棘手部分。它非常费时间,尤其是通过保护模式,”他增加到。Fewer赢得了15000美元的奖金和Windows笔记本。
微软在周四确认IE 9不会受这个漏洞影响。“我们已经确认了IE 9 RC不会受pwn2own比赛中利用的漏洞。IE 9官方将在周一发布。”微软的安全回应小组在Twitter上说。
微软将在3月14日发布IE 9 正式版。消息源熟悉微软的将在西南音乐节3月14日发布IE 9正式版的计划。许多IE 9开发小组成员将参加随后的IE 9发布和庆祝聚会。近期微软正在编译接近正式版的IE 9 escrow-RTM版本。escrow版本标志着IE 9开发的最后阶段。微软的最后的IE 9 escrow版本号是9.0.8112.16416。微软所有历史上的产品在RTM-escrow阶段之后的开发时间都少于一个月。
