微软昨日发布安全公告（KB2488013），证实日前曝光的一个IE漏洞可能会导致远程代码攻击。这是一家法国安全公司Vupen在本月初曝光的oday漏洞，微软随后开展了调查，就在Vupen公开了攻击代码的同时，微软也发布了安全公告，警告用户避免受到此漏洞的影响。

微软当前正在开发补丁以便能尽快修复该漏洞，在补丁未完成前微软建议用户开启防火墙，及时升级软件，并且在机器上安装杀毒软件。该漏洞存在于IE的HTML渲染引擎中，远程攻击者可以利用该漏洞绕过Windows 7和Vista等系统的DEP（数据执行保护）和ASLR（地址空间布局随机化），进而执行恶意代码。

这个问题是由“mshtml.dll”动态链接库文件中的一个“use-after-free”错误引起的。当处理一个包含各种“@import”规则的参考CSS（层叠样式表）文件的网页的时候，这个错误允许远程攻击者通过一个特殊制作的网页执行任意代码。

微软公布了受影响的软件：

— Windows XP SP3、Windows Server 2003 SP2平台上的IE6；

— Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2平台上的IE7；

— Windows XP SP3、Windows Server 2003 SP2、Vista SP1和SP2、Windows Server 2008和SP2、Windows 7、Windows Server 2008 R2平台上的IE8。