今天，微软发布了一份关于互联网浏览器(IE)漏洞的安全提案，该漏洞正在被利用。这就是所谓的零日。

目前，该公司的安全咨询(ADV200001)仅包括可用于保护易受攻击系统免受攻击的解决方案和缓解措施。

在撰写本报告时，还没有关于这个问题的补丁。微软表示，正在研究修复计划，将于稍后发布。

尽管微软表示意识到IE Zero Day是在野外使用的，但该公司将这些描述为“有限的定向攻击”，这表明Zero Day没有被广泛使用，而是针对少数用户的攻击的一部分。

这些有限的IE零日攻击被认为是更大规模黑客活动的一部分，其中还涉及对Fire fox用户的攻击。

上周，Mozilla增加了一个类似的零日，用来攻击Fire fox用户。Mozilla认为奇虎360发现并报告了火狐的零日功能。

这家中国网络安全公司在一条已删除的推文中表示，攻击者也在零天使用互联网浏览器。这似乎是奇虎360研究人员当时提到的零日。

没有共享关于攻击者或攻击性质的信息。奇虎360没有回复记者的置评请求，也没有寻求有关此次攻击的信息。

从技术上来说，微软将IE零日描述为远程代码执行(RCE)缺陷，这是由IE脚本引擎(处理JavaScript代码的浏览器组件)中的内存损坏错误引起的。

以下是微软对这个零点的技术描述：

脚本引擎在互联网浏览器中处理内存中对象的方式存在远程代码执行漏洞。漏洞会破坏内存，并允许攻击者在当前用户的上下文中执行任意代码。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。如果您以管理用户权限登录到当前用户，成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可以安装程序；查看、更改或删除数据；或者创建一个具有完全用户权限的新帐户。

在基于网络的攻击场景中，攻击者可以托管一个专门制作的网站，该网站旨在通过互联网浏览器利用该漏洞，然后说服用户查看该网站，例如发送电子邮件。

微软表示，所有支持的Windows桌面和服务器操作系统版本都受到了影响。