Internet Explorer 中的漏洞可能允许远程代码执行 发布日期:2014 年 4 月 26 日
一般信息
执行摘要
Microsoft 已获悉,存在有限的针对性攻击,这些攻击试图利用 Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 和 Internet Explorer 11 中的漏洞。此漏洞是一个远程代码执行漏洞。此漏洞存在于 Internet Explorer 访问已删除或未正确分配的内存对象的方式中。此漏洞可能以一种允许攻击者在 Internet Explorer 中当前用户上下文中执行任意代码的方式破坏内存。攻击者可以托管一个专门设计用于通过 Internet Explorer 利用此漏洞的网站,然后诱使用户查看该网站。
我的理解是您应该使用 Internet Explorer:增强的安全配置和/或禁用 ActiveX/Adobe Flash 并使用受信任的站点才能安全地使用 IE。
我的问题是由于某个 Web 应用程序使用了 ActiveX,所以我必须使用 IE。
我的问题是,如果我使用与 IE 相同的渲染引擎的其他浏览器,我还能安全吗?Avant Browser 使用与显示网页相同的引擎,并且对我的 Web 应用程序来说运行良好。但它能免受该安全漏洞的影响吗?
甚至还有Chrome/Firefox 的插件和扩展这将使用 Chrome/Firefox 中的 IE Web 浏览器控件打开网页。这些浏览器使用内置 ActiveX,但 Chrome 和 Firefox 不受此安全问题的影响。但它安全吗?
答案1
如果其他浏览器使用与 IE 相同的渲染引擎,那么它也存在漏洞。实际上,IE 和它的 ActiveX 对象之间没有太大区别。
您的知识库文章链接到MS14-021这更好地解释了这个问题。它还说:
将您信任的站点添加到 Internet Explorer 受信任的站点区域
将 Internet Explorer 设置为阻止 Internet 区域和本地 Intranet 区域中的 ActiveX 控件和活动脚本后,您可以将您信任的站点添加到 Internet Explorer 受信任的站点区域。这将允许您继续像现在一样使用受信任的网站,同时帮助您保护自己免受来自不受信任站点的攻击。我们建议您仅将您信任的站点添加到受信任的站点区域。
为此,请执行以下步骤:
- 在 Internet Explorer 中,单击工具, 点击互联网选项,然后点击安全标签。
- 在里面选择 Web 内容区域以指定其当前安全设置框,点击可信任的网站,然后点击站点。
- 如果要添加不需要加密频道的站点,请单击清除要求此区域内的所有网站进行服务器验证 (https:)复选框。
- 在里面将此网站添加到区域框中,键入您信任的站点的 URL,然后单击添加。
- 对每个要添加到区域的网站重复这些步骤。
- 点击好的两次以接受更改并返回 Internet Explorer。
使用此过程仅将必须使用 ActiveX 的网站添加到受信任的站点区域,以便只允许这些网站使用 ActiveX。