微軟證實(shí)黑客入侵制造IE漏洞 承諾推出補(bǔ)丁
日前,據(jù)科技博客ComputerWorld報(bào)道,微軟周一發(fā)表安全公告稱,IE瀏覽器出現(xiàn)漏洞,微軟正在進(jìn)行安全修補(bǔ)。
這份安全公告中強(qiáng)調(diào)了“零日(zero-day)”的漏洞——意指一個(gè)漏洞在未有補(bǔ)丁之前被發(fā)現(xiàn)并利用,這個(gè)漏洞是由研究院艾瑞克·羅芒(Eric Romang)于上周末發(fā)現(xiàn)的。周一,黑客工具M(jìn)etasploit開源架構(gòu)針對這個(gè)漏洞公布了一個(gè)利用模塊,逼得微軟不得不迅速反應(yīng)。
“我們僅收到了一小部分被攻擊的報(bào)告,目前正針對該漏洞開發(fā)安全補(bǔ)丁。”微軟Trustworthy Computing組的主管云山韋(音譯,Yunsun Wee)在微軟安全應(yīng)對中心(Microsoft Security Response Center)的博客中稱。
2001年的IE 6、2006年的IE 7、2009年IE 8以及去年的IE 9都受到了安全影響,而這些瀏覽器的使用率占據(jù)了8月份全球?yàn)g覽器使用總額的53%。僅有IE 10未受到攻擊,因?yàn)樗鼪]有出現(xiàn)此類漏洞。
nCircle證券公司的安全運(yùn)營主管安德魯·斯多姆斯表示,周一微軟的公告是意料之中的,“我認(rèn)為他們一定要廣而告之,太多人關(guān)注此事,太多人希望有些官方的指引出現(xiàn)。”
周一早些時(shí)候,微軟稱他們正在調(diào)查潛在的漏洞,但不保證會推出補(bǔ)丁。
這個(gè)安全漏洞被評級為“危險(xiǎn)的”,已經(jīng)是微軟所定義的最高級別的安全威脅。攻擊此漏洞能夠使得黑客執(zhí)行代碼、安放木馬,并打開Windows XP、Vista以及Windows 7,使得用戶無法抗拒的瀏覽帶有病毒的網(wǎng)頁。
直到補(bǔ)丁推出之前,微軟建議用戶采用EMET 3.0(Exploit Mitigation Experience Toolkit)去阻止攻擊,將IE的安全區(qū)域設(shè)置為最高級,并在瀏覽器運(yùn)行腳本前設(shè)置提醒。