谁也不会想到，本周二微软公司竟然会为一个字符专门发布了IE安全更新补丁。而这个安全漏洞的始作俑者则是毫不起眼的“&”字符，面向 的目标则又是漏洞频出的ActiveX control。按微软安全人员的说法，黑客可以利用这种漏洞来进行缓冲区溢出式攻击。黑客们如果在代码中的适当位置多加入一个“&”字符，那么就可以对数组指针所在地址的数据进行操作，而正常情况下应当只允许对数组指针所指向地址的数据进行操作，由于数组指针通常被存放在堆栈中，因此黑客们可以利用这种漏洞来进行堆栈式的缓冲区溢出攻击。

微软Visual Studio开发工具也同样存在类似的漏洞，为此微软除了发布IE补丁外，还发布了针对Visual Studio软件的相应补丁。

该漏洞是首先由安全专家Zynamics公司的Thomas Dullien和Dennis Elser发现的，有关该漏洞的更多详细说明，可以点击这个链接查看。

CNBeta编译
原文：theregister