Internet Explorer 8 - 数据执行保护/NX

受影响的平台

客户端 - Windows XP、Windows Vista、Windows 7
服务器 - Windows Server 2003、Windows Server 2008、Windows Server 2008 R2

注意

使用最新 Service Pack 在操作系统上运行时，Internet Explorer 8 将启用 DEP/NX 保护。 默认情况下，在 Internet Explorer 8 中，Windows XP SP3、Windows Server 2003 SP3、Windows Vista SP1 和 Windows Server 2008 都启用了 DEP/NX。

 

功能影响

严重性 - 中等
频率 - 低

注意

通常，在 Internet Explorer 中运行且与 DEP/NX 不兼容的任何应用程序将在启动时崩溃，并且无法正常工作。 如果安装了与 DEP/NX 不兼容的加载项，Internet Explorer 可能会在启动时崩溃。

 

说明

DEP/NX 是一项安全功能，可帮助缓解与内存相关的漏洞。 从 Internet Explorer 8 起，所有 Internet Explorer 进程默认启用 DEP/NX 功能。

影响的表现

Windows 内核监视程序的执行。 如果内核检测到尝试从未标记为可执行文件的内存页运行代码，则内核将停止执行程序，从而导致“崩溃”。这是一种安全措施，可帮助确保内存相关的漏洞 (例如，应用程序中) 缓冲区溢出不能被利用以执行任意代码。

End-User缓解

• 安装兼容 DEP/NX 的加载项或框架的更高版本。
• 运行提升为管理员的 Internet Explorer，然后使用“Internet 选项 / 高级”选项卡上的“启用内存保护以帮助缓解联机攻击检查”框禁用 DEP/NX。

开发人员解决方案

使用与 DEP 兼容的最新版本的框架编译应用程序。

利用功能

• 使用 /NXCOMPAT 链接器选项指示 DEP/NX 兼容性
• 将代码选择使用其他可用的防御措施，例如堆栈防御 (/GS) 、安全异常处理 (/SafeSEH) 和 ASLR (/DynamicBase)

兼容性、性能、可靠性和可用性测试

• 使用 Windows Vista SP1 或更高版本上最新发布的 Internet Explorer 版本，通过启用 DEP/NX 测试代码。
• 启用 DEP/NX 选项后，在 Windows Vista 上使用 Internet Explorer 7 进行测试。 若要为 Internet Explorer 7 启用 DEP/NX，请以管理员身份运行 Internet Explorer，然后在“工具 > Internet 选项>高级”选项卡中设置相应的检查框。
• (IECTT) 运行 Internet Explorer 兼容性测试工具，该工具与应用程序兼容性工具包 (ACT) 一起提供，以查找由于 DEP/NX 更改而导致的任何潜在问题。

指向其他资源的链接

• Internet Explorer 8 安全部分 I：DEP/NX 内存保护
• 数据执行保护
• 添加到 Windows Vista SP1、Windows XP SP3 和 Windows Server 2008 R2 的新 NX API
• 应用程序兼容性工具包下载
• 已知的 Internet Explorer 安全功能问题