据科技博客ComputerWorld报道,微软周一发表安全公告称,IE浏览器出现漏洞,微软正在进行安全修补。这份安全公告中强调了“零日(zero-day)”的漏洞——意指一个漏洞在未有补丁之前被发现并利用,这个漏洞是由研究院艾瑞克·罗芒 (Eric Romang)于上周末发现的。周一,黑客工具Metasploit开源架构针对这个漏洞公布了一个利用模块,逼得微软不得不迅速反应。 “我们仅收到了一小部分被攻击的报告,目前正针对该漏洞开发安全补丁。”微软Trustworthy Computing组的主管云山韦(音译,Yunsun Wee)在微软安全应对中心(Microsoft Security Response Center)的博客中称。 2001年的IE 6、2006年的IE 7、2009年IE 8以及去年的IE 9都受到了安全影响,而这些浏览器的使用率占据了8月份全球浏览器使用总额的53%。仅有IE 10未受到攻击,因为它没有出现此类漏洞。 nCircle证券公司的安全运营主管安德鲁·斯多姆斯表示,周一微软的公告是意料之中的,“我认为他们一定要广而告之,太多人关注此事,太多人希望有些官方的指引出现。” 周一早些时候,微软称他们正在调查潜在的漏洞,但不保证会推出补丁。 这个安全漏洞被评级为“危险的”,已经是微软所定义的最高级别的安全威胁。攻击此漏洞能够使得黑客执行代码、安放木马,并打开Windows XP、Vista以及Windows 7,使得用户无法抗拒的浏览带有病毒的网页。 直到补丁推出之前,微软建议用户采用EMET 3.0(Exploit Mitigation Experience Toolkit)去阻止攻击,将IE的安全区域设置为最高级,并在浏览器运行脚本前设置提醒。
