[导读]微软将在明日发布紧急补丁MS10-018修复之前曝光的一个0day安全漏洞，3月9日微软在知识库文章KB981374中证实了此漏洞的存在，并且表示已经有黑客用来攻击用户。

微软将在明日发布紧急补丁MS10-018
    微软将在明日发布紧急补丁MS10-018修复之前曝光的一个0day安全漏洞。3月9日，微软发布的Microsoft 安全通报 (981374)：Internet Explorer 中的漏洞可能允许远程执行代码中修复了一个秘密披露的安全漏洞。如果用户访问一个恶意网站，这个安全漏洞能够让攻击者控制用户的计算机，并且表示已经有黑客用来攻击用户。3月10日、12日，微软对9日发布的Microsoft 安全通报 (981374)：Internet Explorer 中的漏洞可能允许远程执行代码进行了持续更新。

    不久前知名杀毒软件厂商AVG等病毒厂商表示，利用IE此漏洞进行的攻击行为已经开始泛滥，并被用来在受攻击计算机上安装虚假杀毒软件或是木马病毒。

　　迫于各方面压力，微软决定在明天就发布补丁修复此漏洞，而不再等到4月13日的周二例行补丁日。与之前为IE发布的0day修复补丁MS10-022相同，微软此次还将修复另外9个安全漏洞，此次补丁对于所有版本IE来说都是非常重要的。

　　微软表示，发布此次紧急补丁的原因是IE6和IE7因一个0day漏洞而处在很危险的境地，虽然这个远程代码攻击漏洞不影响IE8，但是明日发布的补丁MS10-022则涉及Windows 7和IE8用户，因为该补丁中所修复的多个高危漏洞会涉及到IE8，建议所有IE版本用户都安装该补丁。

　　MS10-022修复的另外9个漏洞均为第三方秘密提交的报告，而且微软目前还没有发现有利用这些漏洞进行的攻击行为。

IE极风0day漏洞 

    这个安全漏洞涉及到iepeers.dll动态链接库中一个安全漏洞，与处理经过“setAttribute()”函数的非法值有关。这些安全漏洞创造了向受害人PC放置恶意软件的途径，如果受害人使用有安全漏洞的IE浏览器访问陷阱网站就会受到攻击。

    微软在声明中称，在监测到这种情况并且得出需要在补丁周期之外发布应急补丁保护用户的结论之后，微软采取了不同寻常的步骤在补丁星期二更新周期之外发布一个补丁。这个更新还包括微软最初计划在4月13日发布的修复IE浏览器其它9个安全漏洞的补丁。

   IE的setAttribute中与标准浏览器的有许多不同，主要表现在IE对setAttribute的功能上有些限制，就是不能用setAttribute来设定class、style于onclick等事件的值以及设置name属性，那这样就会导致setAttribute在IE浏览器里失去很多的用途！而在IE6、IE7中，如果动态生成input元素，是无法为其设置name属性的。由于name属性对表单元素非常重要（在提交表单时，与value属性组成键值对，发送到后台），因此必须留意这个bug。

    此前，IE 极风新0day漏洞攻击代码传入国内，如http://www.iefans.net/ie-setattribute-bug/，木马借IE极风0day漏洞迅猛传播,国内金山卫士等安全厂商积极跟进或提供相应解决方案。（大璞不完）