关于DEP和Internet Explorer零日漏洞的补充信息

微软安全公告979352中描述的新Internet Explorer安全漏洞在过去几天引起了广泛关注。Internet Explorer团队正在全力准备全面的安全更新来解决该漏洞，MSRC今日宣布，一旦更新准备就绪将立即广泛发布。

在此期间，我们收到了许多客户关于如何保护其环境的问题。大多数问题围绕数据执行防护（DEP）展开，这是我们在先前博客文章中讨论过的一种缓解措施。为帮助您更好地理解DEP（特别是与Internet Explorer 8相关的部分），我们准备了以下视频，其中我将讨论一些更高层次的概念：

[视频内容省略]

总结如下：

哪些版本的Internet Explorer默认启用了DEP？ 硬件强制DEP在以下平台的Internet Explorer中默认启用：

• Windows XP Service Pack 3上的Internet Explorer 8
• Windows Vista Service Pack 1及更高版本上的Internet Explorer 8
• Windows Server 2008上的Internet Explorer 8
• Windows 7上的Internet Explorer 8

Windows 2000不支持硬件强制DEP。Windows XP Service Pack 2、Windows Server 2003 Service Pack 1和Windows Vista支持硬件强制DEP，但没有Internet Explorer 8用于启用DEP的SetProcessDEPPolicy API。

其他Windows或Internet Explorer版本的用户如何启用DEP？ Windows XP SP2和Windows Vista RTM用户可以点击此按钮启动MSI，为Internet Explorer启用DEP。

[按钮图形省略]

如何确定硬件是否支持硬件强制DEP？ 微软知识库文章912923详细描述了如何确定计算机是否可用并配置了硬件DEP。

“软件DEP”和硬件强制DEP（/NX）有什么区别？ “软件DEP”实际上根本不是DEP。“软件DEP”只是/SAFESEH的另一个名称。不幸的是，/SAFESEH对此漏洞不是有效的缓解措施。只有硬件强制DEP能破坏试图利用此漏洞的攻击。

IE的DEP在Intranet区域（与Internet区域相比）行为是否不同？ DEP本身是按进程启用的，与应用层内容无关。然而，攻击者使用一种众所周知的DEP绕过技术，通过.NET类将页面标记为可执行。IE8不允许这些.NET类在Internet区域加载。在Intranet区域，允许加载.NET类。因此，能够在企业网络上托管内容的攻击者可能绕过DEP并成功利用此漏洞。

我们希望这有助于回答您可能有关DEP的问题。

Jonathan Ness
本文按“原样”提供，不作任何保证，也不授予任何权利