IE出现零時差漏洞，XP安全拉警报

微软上周发布安全通报（Security Advisory）2963983指出，从包含IE6～IE11在内的所有IE版本都含有一重大安全漏洞，已有黑客针对该漏洞进行目标式攻击。 由于该漏洞涉及Windows XP所支持的IE6～IE8，而且微软已在4月8日终止对XP所有的技术支持或安全更新，代表微软不会再释出IE for XP的安全更新，此一漏洞的曝光更让XP的安全堪虑。 根据微软的说明，这个漏洞存在于IE存取内存中未被妥善放置或已被删除的代码，导致内存毁损并让黑客有机可乘。黑客可打造一个恶意网站并吸引IE用户造访，藉由攻陷该漏洞执行远端程序攻击。目前微软已发现少数针对该漏洞的目标式攻击，并正在进行调查。微软日前也宣布将对此漏洞释出最新的更新，但很可惜的，已经12岁并且退役的XP这次真的就没份了。 该漏洞影响了所有Windows操作系统上所运作的IE，而且这又是微软全面终止XP支持之后第一个出现攸关XP的安全漏洞，因而特别受到关注。赛门铁克安全研究人员Christian_Tripputi表示，他们的内部测试发现，该漏洞的确会让XP上的IE崩溃掉，且因微软不会再修补XP的相关漏洞而使得该漏洞对XP使用者来说更加严重。 不过，XP用户尚有自保的方式，包括使用其他的浏览器，或是安装微软免费提供的Enhanced Mitigation Experience Toolkit（EMET）。EMET是一项安全工具，可让黑客更难攻陷既有的软件漏洞，微软已证实EMET能够协助降低黑客攻陷该漏洞的机会。微软于去年12月释出的EMET 4.1版仍支持XP与其他Windows平台。 在尚未修补前，微软还建议使用者启用IE11内置的保护模式（如果有的话，Windows 7 x64 版与全部的 Windows 8 系统中有内置），其他IE版本的用户可以部署EMET 4.1，或是把Internet 选项中的安全级别调高以封锁ActiveX控制选项及Active Scripting。

标签:IE动态WinXP安全IE漏洞