靠谱的软件下载站
当前位置:  IEfans/IE专区/IE动态/微软或将于下周二发布IE浏览器新零时差漏洞补丁

微软或将于下周二发布IE浏览器新零时差漏洞补丁

IE动态 互联网 2013-10-04 阅读(751)
微软在9月17日发布了2887505安全通告,说明一可能影响所有IE浏览器版本的零时差攻击漏洞,并以Fix it提供临时性修补。不过,从上个月开始便传出有多项攻击锁定该漏洞,且近日亦于专门测试安全漏洞的Metasploit渗透测试工具中发现针对该漏洞的攻击程序,大幅提高该漏洞遭到攻击的风险。 微软在公布该漏洞时便表示,已发现少许锁定该漏洞的目标式攻击,安全厂商FireEye随后则证实,今年8月针对日本企业的Operation DeputyDog攻击行动即锁定该漏洞,并在9月30日指出有其他3个攻击行动皆锁定该漏洞进行进阶持续性攻击(Advanced Persistent Threat,APT)。 另一安全厂商Websense Security Labs则说,可能有高达70%的个人电脑都受到该漏洞的威胁。而且相关攻击并不仅限于日本,侦测发现有不同的攻击行动与攻击团队亦锁定该漏洞。 外界近来也发现,Metasploit的渗透测试工具已纳人了该IE漏洞的攻击程序,使得疫情有扩大的可能。 安全厂商Rapid7旗下的Metasploit专案为一电脑安全专案,提供各种安全漏洞的资讯并可进行渗透测试,Metasploit还有一个开放源码的Metasploit Framework子专案,是一个用来开发漏洞攻击程序的工具。攻击程序开发人员Wei Chen则于本周一(9/30)将锁定该漏洞的模组捐赠给Metasploit渗透测试工具,Chen表示,他所打造的攻击模组是基于骇客开采该漏洞的攻击程序。 即使Metasploit专案的宗旨在于供资安人员研究所用,但也有不少骇客习惯藉由Metasploit内含的资讯与工具来进行攻击,使得专家认为这将大幅提高此一IE零时差漏洞的风险。 微软已在著手打造该漏洞的正式版修补程序,但尚未释出。微软今天宣布了其将于下周二发布的8个安全公告,其中便包括数周前曝出的影响全版本IE的漏洞修复补丁。 在此之前,用户最好还是遵照半月前公布的如下变通方法,以缓解该漏洞带来的影响:
  • 参考微软的"CVE-2013-3839 MSHTML Shim Workaround"解决方案;
  • 设置Internet和本地网络的安全等级为"高",以阻挡ActiveX控件和Active Scripting;
  • 配置IE在运行Active Scripting前进行提示,或者直接禁用Active Scripting。

标签:IE动态IE漏洞补丁

Copyright © 1998-2017 www.iefans.net All Rights Reserved 湘ICP备13012168号-17