据悉,该漏洞会被利用执行xss或跨站点脚本,将放置在其他不明中的恶意代码在当前页面上运行,从事破坏活动。
xss跨站点攻击是一种控制的资源定位符,然后将受信任的站点链接到包含恶意代码实施攻击的方式。另一款浏览器产品firefox针对此类攻击曾推出过noscript阻截插件。
具有讽刺意味的是,包含该漏洞的代码段正是微软用于保护ie 8免受xss攻击而开发设计的。该功能工作原理是利用编码改写技术,将存在安全风险的字符和数值,替代成可靠的数据输出。一位谷歌发言人也证实,在ie8中发现重大漏洞,但没有发表更多评论。
目前尚无法得知为何出于保护目的的程序会给ie带来如此负面的影响。aspen安全高级工程师迈克尔科茨最近从事这方面的研究,但是他也未注意到该威胁。
微软官方在进行一番调查后表示,暂时还没有在ie 8中检测出潜在的漏洞。一旦调查活动结束,微软将采取适当的措施,包括发布补丁指导用户如何保护机器免受攻击。