微软今天发布了一份关于InternetExplorer（IE）漏洞的安全建议，该漏洞目前正在野外被利用，这是一个所谓的零天。

该公司的安全咨询（ADV200001）目前只包括可用于保护脆弱系统免受攻击的解决方案和缓解措施。

在编写本报告时，这一问题没有补丁。微软表示，它正在研究一个修复方案，将于稍后发布。

虽然微软表示意识到IE零日在野外被利用，但该公司将这些描述为“有限的定向攻击”，这表明零日并未被广泛利用，而是针对少数用户的攻击的一部分。

这些有限的IE零日攻击据信是更大规模黑客活动的一部分，这也涉及对Fire fox用户的攻击。

上周，Mozilla补充了一个类似的零日，被用来攻击Fire fox用户。Mozilla认为奇虎360发现并报道了火狐的零日功能。

这家中国网络安全公司在一条现在被删除的推文中说，攻击者也在利用一个InternetExplorer零天。这似乎是奇虎360研究人员当时提到的零天。

没有分享关于袭击者或袭击性质的信息。奇虎360没有回复置评请求，以寻求有关袭击的信息。

在技术层面上，微软将这一IE零天描述为一个远程代码执行（RCE）缺陷，这是由IE的脚本引擎（处理JavaScript代码的浏览器组件）中的内存损坏错误引起的。

下面是微软对本次零点的技术描述：

远程代码执行漏洞以脚本引擎处理InternetExplorer中内存中的对象的方式存在。漏洞会破坏内存，使攻击者可以在当前用户的上下文中执行任意代码。成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。如果使用管理用户权限登录当前用户，成功利用该漏洞的攻击者可以控制受影响的系统。然后，攻击者可以安装程序；查看、更改或删除数据；或创建具有完整用户权限的新帐户。

在基于网络的攻击场景中，攻击者可以托管一个专门制作的网站，该网站旨在通过InternetExplorer利用该漏洞，然后说服用户查看该网站，例如发送电子邮件。

微软表示，所有支持的Windows桌面和服务器操作系统版本都受到影响。