不久前我们为您报道过IE相关产品出现VML漏洞，微软表示正式的补丁要到10月10才出来，虽然ZERT已经提供第三方安全补丁，但是最近安全中心发现针对VML漏洞的攻击正在大量出现。

McAfee Avert实验室的研究员Craig Schmugar说：“越来越多的网站被发现使用了有漏洞的代码。”

他声称目前已经有一个叫“WebAttacker”的软件让攻击变得轻而易举。“使用这个软件可以不费多大力气就让攻击者获得通路，通过在网址中插入代码等操作就能植入你选择的文件。”

Exploit Prevention的主管Roger Thompson表示他们周末进行了相关测试，类型为截取用户金融相关网站上的登陆信息。攻击者使用雅虎网上传情来给目标发送一张贺卡，诱使目标访问某些网址，然后利用漏洞植入木马。

木马被设计成窃取情报的模式，例如用户的网络银行和在线支付信息。其实这项试验四五个月前就开始了，当时他们是为了测试四月份已经被修补的另一个漏洞。虽然补丁已经出台，但他们每个月还是能获得200Mb左右的数据，而现在的VML的漏洞则给他们贡献了更多，是否可以看作“无心插柳柳成荫”？