攻擊者能夠利用該漏洞和相關(guān)技術(shù)繞過兩個Windows安全功能:DEP(數(shù)據(jù)執(zhí)行保護(hù))和ASLR(地址空間布局隨機(jī)化)���,這個問題是由“mshtml.dll”動態(tài)鏈接庫文件中的一個“use-after-free”錯誤引起的�。當(dāng)處理一個包含各種“@import”規(guī)則的參考CSS(層疊樣式表)文件的網(wǎng)頁的時候,這個錯誤允許遠(yuǎn)程攻擊者通過一個特殊制作的網(wǎng)頁執(zhí)行任意代碼��。
微軟當(dāng)前仍在調(diào)查中����,本月的安全補(bǔ)丁也已經(jīng)在上周發(fā)布過,微軟可能會在明年1月份的補(bǔ)丁修復(fù)該漏洞���,如果事態(tài)嚴(yán)重,微軟也可能為此發(fā)布非常規(guī)補(bǔ)丁����。
