微软本周四晚发布了一项公告称，黑客在最近针对Google、Adobe以及其他公司的攻击中利用了IE中的零日漏洞。

　　微软说它正与Google和其他公司合作，并向调查者提供信息。远程代码执行漏洞影响到几乎所有Windows版本上运行的近乎全部的IE版本。Windows 2000上的IE 5.01不会受此影响。

　　微软安全响应中心（MSRC）的部门经理Mike Reavey在MSRC博客中提到：“微软发现这一漏洞还没有对客户造成大规模的影响，这段时间受攻击的仅仅局限于IE 6。我们的团队正致力于研制更新，当更新达到了大规模发布的质量要求之时，我们将会采取合适的行动来保护广大用户。”

　　Reavey说，针对特定公司网络的攻击正变得越来越流行，这促使企业需要部署多层次的防御来改进它们的安全构架。Google和 Adobe在本周都承认了它们的公司系统被黑客攻击了，黑客使用了精心策划的社会工程攻击策略。McAfee说其研究人员在对这次攻击所使用的恶意软件的分析中发现了IE零日漏洞。

　　微软在其公告中称用户可以通过以下途径来减轻IE零日漏洞所带来的威胁：将本地内网安全区设置为高级别并在Windows Vista和之后的版本中的IE7中使用保护模式。较高级别的安全区设置会使浏览器帮用户在运行ActiveX控件和Active脚本前进行检查工作。另外，数据执行保护（DEP）能够帮助减少在线攻击的发生。Reavey说，DEP在IE8中是默认开启的状态，但在IE8之前的版本中则必须手动开启这一功能。

　　Microsoft在其公告中说“这一漏洞是作为一个无效指针引用存在于IE中的。有可能在某些情况下，当某一对象被删除后这一无效指针会被访问到。在特制的攻击中，为访问释放的对象，IE将允许远程代码的执行。”

　　这一漏洞攻击是通过利用攻击网站上设置好特制内容的方式来发起的。微软说攻击者会通过欺骗用户点击电邮信息中的链接致使用户访问恶意网站。

　　微软说：“攻击者有可能会通过使用横幅广告或其他的方式来显示他们精心制作的Web内容，并将Web内容传播到受感染的系统上。”