11月29日消息，感恩节缩短了上个星期的工作日。黑客似乎也休息了。安全雷达发现的最大光点就是安全团体认识到，六个月前首次发现的IE浏览器中的一个安全漏洞比原来预料的要严重得多。

据security.ithub.com网站报道，由于认识到这个问题的严重性，安全公司Secunia发布了一个很少使用的“极为严重”等级的安全公告。这篇安全公告称，原来以为IE浏览器中的那个安全漏洞只能引起拒绝服务攻击。现在发现，这个安全漏洞还允许执行恶意代码。

研究人员Benjamin Tobias Franz今年三月份发现了这个问题。这个问题归纳起来就是：当与一个事件一起使用时，IE不正确初始化JavaScript“window()”函数，结果可导致IE在调用ECX中解参用的32位地址时发生异常。

如果我们执行下列指令：CALL DWORD [ECX+8] ，ECX将被加入万国码格式的名为“OBJECT”的文本字符串。这个字符串翻译成16进制的地址是0x006F005B。由于偏移的0x006F005B地址指向一个非法的（或者不存在的）内存位置，IE浏览器就不能执行这个堆栈中的下一个指令，用户就会看到应用程序崩溃。这就是这个问题最初被分类为拒绝服务攻击的原因。

Franz今年三月向微软通报了这个问题。微软在过去的六个月里没有采取任何措施解决这个问题。这也许是因为微软认为利用这个安全漏洞的风险很低。

这个安全漏洞已经证实会影响应用补丁的IE 6.0和Windows XP SP2以及Windows 2000 SP4。IE 5.x也存在这个安全漏洞。

关键词：IE漏洞、IE漏洞代码、IE代码、IE修复