漏洞关键信息 漏洞名称: Microsoft Windows VBScript InStrB Function Use-After-Free Information Disclosure Vulnerability ZDI 标识: ZDI-15-593, ZDI-CAN-3141 CVE 标识: CVE-2015-6136 CVSS 评分: 4.3 (AV:N/AC:M/Au:N/C:P/I:N/A:N) 受影响的供应商: Microsoft 受影响的产品: Internet Explorer, Windows 漏洞详情: 该漏洞允许远程攻击者通过使用 VBScript 脚本语言在易受攻击的 Microsoft Windows 安装上运行的应用程序中,披露内存内容。具体漏洞存在于 VBScript InStrB 函数的实现中。通过提供专门设计的参数,攻击者可以披露内存内容。 用户交互是利用此漏洞所必需的,目标必须访问恶意页面或打开恶意文件。 披露时间表: 2015-08-31 - 向供应商报告漏洞 2015-12-08 - 协调发布公共咨询 修复措施: Microsoft 已发布更新来解决此漏洞。更多详情可以访问以下链接: - https://technet.microsoft.com/en-us/library/security/ms15-124.aspx 发现者: Simon Zuckerbraun - HP Zero Day Initiative 趋势科技客户保护: 趋势科技 TippingPoint IPS 客户通过 Digital Vaccine 保护过滤器 ID ['20814'] 受到此漏洞的保护。更多产品信息,访问:http://www.tippingpoint.com