该漏洞最早被发现于一个国外网站，该网站在页面中嵌入攻击代码，用于在用户的机器上安装间谍软件。NSFocus安全小组预计，可能很快会有攻击者在国内利用该漏洞来**QQ号、网络银行帐号、网络游戏帐号等。

　　该漏洞存在于Windows的VML组件（用于在IE中显示矢量图），目前没有任何修补补丁。漏洞的攻击代码已经被发布，而且非常容易利用。最可能的攻击行为是在网页上放置木马，一旦用户访问该网页，将自动安装黑客的木马或者病毒，而用户不会收到任何警告。

　　值得庆幸的是，所有使用Deepin XP （Windwos XPSP2完美精简版：）的朋友将不会受到这个漏洞的影响：DeepinXP默认精简了VML组件，充分体现了最小化安全原则（无关的组件和服务越少，安全性越高），从而完全避免这种潜在的攻击。

　　但是，如果你或者你的朋友使用完整版的XP（无论正版或者盗版，都将有可能受到这个漏洞的影响），请大家相互转告并转贴本安全紧急通告，尽量避免对自己和朋友可能的面临的危险。

　　简而言之，对于普通XP系统用户。

　　深度技术论坛首发本说明漏洞首发预警由国内领先的安全公司绿盟科技发布绿盟科技紧急通告(Alert2006-11)Nsfocus安全小组()IE的VML组件存在未公开漏洞发布日期：2006-09-20CVECANID：CVE-2006-3866BUGTRAQ ID：2009601 02

　　受影响的软件及系统：

　　Microsoft Windows 2000 Service Pack 4

　　Microsoft Windows XP Service Pack 1

　　Microsoft Windows XP Service Pack 2

　　Microsoft Windows Server 2003 Service Pack 1

　　Microsoft Windows Server 2003 x64 Edition

　　Microsoft Windows XP Professional x64 Edition

　　综述：

　　NSFocus安全小组得知IE的VML组件存在一个未公开的漏洞，已经有某些网站利用这个漏洞向用户的电脑上安装间谍软件。

　　分析：

　　VML(VectorMarkupLanguage)是一种基于XML的矢量图形绘制语言。IE通过vgx.dll提供了对VML语言的支持，可以在解析页面中嵌入的VML，显示矢量图。vgx.dll在解析VML的时候存在缓冲区溢出漏洞，利用这个漏洞可以完全控制用户的系统。

　　该漏洞最早被发现于一个国外网站，该网站在页面中嵌入攻击代码，用于在用户的机器上安装间谍软件。NSFocus安全小组预计，可能很快会有攻击者在国内利用该漏洞来**QQ号、网络银行帐号、网络游戏帐号等。