据来自国外网站的消息，日前一群来自SECURITY.NNOV的俄罗斯研究员发现微软的Internet Explorer浏览器存在又一个新的安全漏洞。当用户浏览网页或查看HTML电子邮件信息时，此漏洞会使攻击者在受害用户的系统上执行任意代码。

　　美国计算机紧急响应小组及协作中心（CERT/CC）在周一也发布了此漏洞的安全公告。他们称，这是一个缓冲溢出漏洞，能让攻击者获得受害用户的系统权限，同时能被利用来发布病毒、蠕虫以及其他恶意代码。

　　CERT表示，此漏洞是由于IE非正确处理HTML文档中任意对象的SRC属性导致的。常见的对象类型包括多媒体文件、Java插件及ActiveX控件等嵌入式对象。SRC属性是用来标明对象的源路径及文件名。他们还称，像网页或HTML电子邮件信息之类的HTML文档，含有伪造的SRC属性，能够触发缓冲溢出，它们通过查看该文档的用户权限来执行代码。微软的IE浏览器、Outlook及Outlook Express都受到该漏洞的影响。而其他使用IE HTML解释引擎的应用程序，如Windows编译的HTML帮助文件（.chm）及第三方邮件客户端也可能受此漏洞影响。

　　微软目前已发布了修补此漏洞及其他最近发现的IE漏洞的补丁。

　　为防止此漏洞带来的危胁，CERT也建议用户取消ActiveX控件及插件功能，或至少，取消Internet区及被Outlook或Outlook Express所使用区的“运行ActiveX控件及插件”安全选项。该选项在“高”区安全设置中已被取消了。他们同时建议安装Outlook邮件安全补丁，它使得Outlook在一个限制站点区内打开邮件信息，而在该区内“运行ActiveX控件及插件”安全选项已被默认取消了。