微软在周二刚发布了3月份代号为KB 981374的安全漏洞补丁，IE浏览器又再次曝出一个新的“内存破坏”漏洞，加上还没得到修复的“F1按键”漏洞，IE浏览器因此可能面临两大漏洞的威胁。微软也已经确认其IE6和IE7浏览器中存在一个新的安全漏洞，并且已经检测到有黑客利用这个漏洞发起了攻击，不过最新版的IE8以及较老的IE5.01版本浏览器则不会受到该漏洞的影响。微软官网有消息显示：“该漏洞是由于浏览器中的一个非法指针而引起。而在某些情况下，当浏览器的访问目的地址被删除之后，有关的指针仍然会 被保留下来，这样黑客就可以使用这个非法指针来控制浏览器执行远程代码。”金山安全专家预估，此漏洞一旦被利用，影响或超IE极光漏洞。

　　针对IE浏览器“内存破坏”漏洞，微软公司发布安全公告(981374)指出，漏洞涉及WindowsXP/2000/2003操作系统下的IE6和IE7浏览器。受影响用户如果访问黑客构造的恶意网页，电脑将自动下载运行木马等恶意软件，从而受到黑客“遥控”。

　　微软的官方声明还指出：”目前为止我们已经发现有人在利用这种漏洞进行攻击，不过我们正在密切监视黑客的有关动向，并会随时将事件件的最新进展报告给客户。”

　　于此同时，nCircle网络安全公司的经理Andrew Storms则对ComputerWorld网站表示目前还不清楚微软是否会很快推出修补该漏洞的补丁。他表示：“一般而言，假如某个漏洞被大规模利用，那么微软才会很快推出有关的补丁更新。”

　　据悉，IE“内存破坏”漏洞是由IE浏览器一个特定函数的参数设置产生的，通过多次调用该函数传入同一个对象会造成引用计数失误，触发一个指针引用错误，最后导致黑客可以远程执行任意代码。

　　360安全专家石晓虹博士透露，360恶意网页监控系统在3月8日晚间发现针对该漏洞的挂马攻击，并截获了攻击代码的脚本样本。经测试验证，“360实时保护”无需升级即可拦截现有的IE“内存破坏”漏洞挂马网页，在微软发布补丁前可以保护用户免受相应的漏洞攻击。

　　目前，微软建议IE6及IE7用户临时关闭浏览器的脚本功能，并开启DEP(数据执行保护)，但并没有表态何时发布补丁修复漏洞。石晓虹则表示，360安全中心正在严密监控着IE“内存破坏”漏洞以及“F1按键”漏洞的攻击趋势，确保360安全卫士能够拦截相应的漏洞攻击，并在微软发布官方补丁后第一时间为用户修复漏洞。

      漏洞影响：

      1、主要影响用户：
      IE6/IE7用户
 
      2、不受影响用户
      IE8用户和IE5.01用户
      受IE 0day漏洞影响的软件并非仅限于IE浏览器。在我国，还有大量第三方浏览器使用IE内核，这些浏览器在中国的用户数高达数千万。另外，还有相当多的互联网软件会内嵌IE内核的浏览器以显示广告图片或文字，当IE爆发0day漏洞时，这些软件都可能成为安全隐患。
 
      因此，将IE浏览器升级到IE8是一种比较好防范方法，尽管有用户可能根本不用IE，但仍然建议升级IE内核。
 
      临时解决方法：
 
      Windows用户可以采用下面几种临时解决方案来减少漏洞威胁：
 
      * 修改系统对iepeers.dll文件的访问权限。
      对32位系统，执行如下命令：
      Echo y| cacls %WINDIR%\SYSTEM32\iepeers.DLL /E /P everyone:N
      对64位系统，执行如下命令：
      Echo y| cacls %WINDIR%\SYSWOW64\iepeers.DLL /E /P everyone:N
      调整访问权限以后，打印和Web文件夹之类的扩展功能可能受到影响。
 
      * 将Internet Explorer配置为在Internet和本地Intranet安全区域中运行ActiveX控件和活动脚本之前进行提示。