微软本月安全更新修复了一个潜藏了19年的IE远程代码执行漏洞（CVE-2014-6332），可以说是给Windows跌了一个大跟斗。缺陷出现在VBScript的代码中，自Windows 95首次发布（19年前）以来就一直存在，今天「畅想资源」就带大家来看看这一已存在19年之久的IE远程代码超级漏洞的威力吧！

关于微软安全补丁（实例及预览见下方）

微软披露了一个存在于所有Windows版本的高危漏洞。建议所有Windows用户，尤其是执行网站的用户应尽快安装微软周二发布的补丁

据微软的公告称，该高危漏洞存在于微软的安全传输层协议（TLS）和安全套接层协议（SSL）中。因为它不能正确的过滤特殊形式的数据包，这就使得攻击者可以向Windows伺服器发送恶意流量远程执行攻击代码

Windows伺服器

虽然公告中指出的漏洞主要针对的是Windows伺服器，但是该远程代码漏洞对类Windows版本的伺服器和客户端也同样很危险，而且也有迹像表明它会对Windows台式机和平板电脑造成威胁。Qualys的工程师Amol Sarwate称，如果用户执行了监视网际网路埠和接受加密链接的软件，那么该漏洞就会使客户端机器极易受到攻击。例如，如果用户电脑执行的是 Windows7系统，但安装的却是接受外部链接的FTP伺服器或者是客户端上的Web伺服器，那么它就很有可能面临被攻击的风险

TLS堆栈

从周二披露的漏洞中我们可以看出今年每个重要的TLS堆栈（包括苹果secure transport、GNUTLS、OpenSSL、NSS和微软SChannel）都存在严重的漏洞。我们知道有时候漏洞只会允许攻击者绕过加密保护而不会造成太大的威胁，但是前段时间披露的OpenSSL中的heartbleed漏洞和周二打上补丁的Windows漏洞就不一样了，攻击者会利用它在受害者机器上窃取高度敏感信息并执行恶意代码

微软的公告中指出该漏洞没有任何的缓和因素和变通方法。老版本和旧版本的Windows系统都有可能受到攻击。公告中还指出，没有证据表明地下工具漏洞利用程序是针对Windows用户而开发的

建议

每个使用Windows电脑的用户，尤其是执行Web和Email伺服器的用户都需要立即安装周二发布的补丁。为了您的安全请主动安装补丁，不要风险执行电脑！

预览：Win95+IE3至Win10+IE11全版本执行漏洞（自动打开例如「记事本」等程式）

点击前往「预览页面」（请使用IE浏览器访问！）

由于网站因此被报毒，故不再提供预览！想要亲身体验者，可自己参考下列原始码进行修改！

于Windows 2000下IE 5的效果

于Windows XP下IE 8的效果

欢迎大家提供于不同浏览器、系统下未安装补丁时的效果！

参考

微软公布其存在19年之久的超级漏洞

Facebook分享

Twitter分享