近日，微軟表示，黑客們正利用存在于IE8與IE9之中尚未修復(fù)的某個關(guān)鍵性安全漏洞，目前公司的工程師們正在積極通過更新加以挽救。

與傳統(tǒng)處理方式一樣，微軟對此次威脅采取了淡化處理。

“報告中只列舉了數(shù)量有限的幾條針對IE8與IE9的攻擊，不過該問題確實有可能影響所有IE版本，”Trustworthy Computing集團發(fā)言人Dustin Childs在上周二早晨的一篇博文中指出。

“我們正在積極開發(fā)安全更新，旨在解決這個問題，”Childs補充稱。

根據(jù)Childs以及今天微軟公布的安全咨文的說法，安全漏洞的影響面涉及所有受支持IE版本，從12年前的IE6到目前尚未正式推出的IE11無一幸免——IE11瀏覽器直到今年10月18日才會隨Windows 8.1一同面世。

“沒有任何一個版本能完全擺脫這次的安全威脅，”云安全供應(yīng)商CloudPassage公司DevOps主管Andrew Storms這樣描述漏洞對各微軟瀏覽器版本的廣泛影響。“IE中的零日漏洞絕不是好事，一旦影響所有版本、問題就變得更為嚴重。”

雖然微軟在安全咨文中并未說明，但該漏洞確實可以通過經(jīng)典的“偷渡式”攻擊戰(zhàn)術(shù)加以利用。這意味著黑客們只需要引導(dǎo)攻擊目標訪問惡意網(wǎng)站——或者已經(jīng)遭到破壞并加載了攻擊代碼的合法網(wǎng)站——即可劫持其Windows設(shè)備上的瀏覽器并植入惡意內(nèi)容。

在推出實際補丁之前，微軟公司向客戶們提出幾條自我保護建議，其中包括配置EMET 4.0、運行微軟的“Fixit”自動化工具從而為包含有IE渲染引擎的DLL文件提供“夾層”。

EMET(即增強減災(zāi)體驗工具)是一款專為高級用戶打造的工具，主要幫助企業(yè)IT專業(yè)人士通過手動方式啟用反漏洞技術(shù)，例如針對特定應(yīng)用的ASLR(地址空間布局隨機化)以及DEP(數(shù)據(jù)執(zhí)行保護)。

不過Fixit才是最適合個人用戶的方案：微軟在Fixit工具的支持網(wǎng)站上提供了一條鏈接，客戶只需要點擊圖標并將其標記為“啟用”即可。過去面對其它意料之外的突發(fā)性攻擊活動時，微軟已經(jīng)多次利用夾層方案保護IE安全。

根據(jù)以往慣例，微軟Fixit的解決辦法可能是利用應(yīng)用程序兼容性工具包在每次啟動時在內(nèi)存中對IE核心庫進行修改——所謂IE核心庫是一個名為“mshtml.dll”的DLL(動態(tài)鏈接庫)文件，其中包含瀏覽器的渲染引擎。夾層本身無法修正bug，只是會讓瀏覽器對已經(jīng)被微軟所發(fā)現(xiàn)的外部威脅免疫。

用戶也可以暫時舍棄IE、使用其它備用瀏覽器，例如谷歌的Chrome或者Mozilla的火狐，從而防止自己在微軟公布永遠性修復(fù)補丁之前遭受惡意攻擊。

微軟目前拒絕透露修復(fù)IE漏洞的具體時間，但現(xiàn)在距離下一輪“周二補丁日”只有三周之遙，軟件巨頭的安全團隊很可能搶在10月9日之前公布所謂“計劃外”更新。

微軟其實很少公布計劃外更新：上一次發(fā)布的計劃外更新為MS13-008，發(fā)布于今年1月14日，旨在修復(fù)自2012年12月以來肆虐于IE6、IE7以及IE8瀏覽器之上的漏洞。