众所周知,从IE6正式推出到现在已经有10年多的时间了,虽然微软在这段时间里发布了IE7以及IE8浏览器,但是IE6作为一款经典的浏览器仍然占据着15—25%的市场份额。 在2009年,由于IE6对HTML5标准支持的滞后,为此网友在Twitter网站起了“IE6必死”的活动,并获得了大约10000名用户的支持。随着年初IE8市场份额首次超越IE6,越来越多的人加入到消灭IE6行列中去。现在,由于一个关键的IE漏洞成为黑客攻击33家网站的最主要后门,使得IE浏览器又处于风口浪尖了,特别是IE6浏览器,这无疑令IE6的处境雪上加霜。ZDnet的博客作者之一Ed Bott也在自己的博客上发表了一篇题为:是时候停止使用IE6了(It's time to stop using IE6)的博文。
不过和普遍呼吁个人用户放弃IE6有所不同,该文更多的是从安全角度出发,主要面向企业用户,希望那些还广泛使用着XP平台上的IE6的企业和公司及时淘汰IE6。
Ed Bott表示:目前可代替IE6的浏览器有很多,抛开Firefox、Chrome等独立内核浏览器不谈,即使你必须使用IE来完成某些工作,也应该选择
IE7或者IE8,无论是功能上还是安全性上,都远胜于IE6。
微软:升级到IE8浏览器能够更有效的抵御漏洞攻击
到了如今,一家企业如果还在大量使用IE6,你甚至可以认定这家企业的IT管理员是不负责任的。你觉得这话太武断?不妨多听听安全专家们以及微软的意见吧,连微软都承认,IE6经常成为网络安全的直接隐患。相对的,假如你使用的是IE7或者IE8,那么你的安全系数会提高很多,即使是在XP SP3平台下,IE8也能提供一些额外的安全保障。这一点已经在很多测试对比中得到证明,IE8虽然速度比不是最快的,但是安全性却是目前数一数二的。
之所以会发表这样一篇博文,个人认为很大程度是因为微软的一个0day漏洞被公开到了网上,包括完整攻击代码在内。如果针对该漏洞的攻击大面积开展,
IE6就会是第一个倒霉的受害者(抑或是“活该”呢)。
网友认为IE6必死的5大理由:
1、计算机安全处于风险之中
前段时间,谷歌、雅虎等其他20多家公司都遭到了黑客的攻击,而黑客所利用的则是IE中的漏洞。据统计,受到此次攻击的用户大多是运行IE6浏览器的Windows XP用户,也就是说运行IE6浏览器会使得计算机的安全随时受到威胁。如果在黑客窃取了您的信息之后再去执行IE6升级的话,那么就太迟了,特别是当您的计算机中包含敏感的客户数据的时候。
2、世界各国政府都建议更换浏览器
目前,德国和法国政府都已经发布公告,警告国民慎用IE浏览器,建议他们尽快更换浏览器,特别是IE6浏览器用户。
3、就算是微软,也建议用户放弃使用IE6浏览器
微软在其安全研究和防御博客中指出,为了避免受到攻击的风险,用户最好能够升级IE6浏览器和Windows XP系统,或者是启用数据执行保护(DEP)功能。
这已经不是微软首次建议用户对老版本的软件执行升级了,不过微软由于特定的缺陷而建议用户执行升级还尚属首次。
4、不想弃用Windows XP并不是放弃IE6升级的合法借口
弃用IE6的方法之一就是将Windows XP升级至Windows Vista或者是Windows 7,二者运行的是IE7和IE8浏览器。
众所周知,Windows Vista操作系统的性能的确是不尽人意的,而这也的确能够成为Windows XP不愿执行升级的理由。但是,Windows 7是一款非常稳定、安全、可靠的操作系统,用户是没有理由不执行升级的。当然了,升级Windows 7的确是需要花费一定的资金,但是总比数据被盗取要划算得多了。
5、这不会是IE6导致的最后一次大规模安全漏洞攻击
在谷歌受到中国黑客攻击之前,外界对于IE浏览器中的这个漏洞是一无所知的,而这也不是IE浏览器中被利用的首个漏洞。据统计,迄今为止,IE6中至少有142个漏洞,其中有22个尚未发布修补程序。因此,这次攻击并不会是IE6导致的最后一次大规模安全漏洞攻击。
针对这个最新的IE 0day漏洞(979352),微软安全研究中心做了一份风险评估,评估结果为:风险程度随着IE和Windows系统的版本提升而下降。下图的绿色区域表示,虽然受到漏洞的影响,但是自身有能力抵抗利用该漏洞所实施的攻击。
与之类似,国内的安全公司也通过测试证明Windows 7 + IE8的组合尽管也会受到该漏洞的影响,但是依靠自身安全措施可以防止其生效;相反,XP SP3 + IE6就毫无还手之力了。
当然,
IE浏览器漏洞的负面影响也被放大了。著名网站《计算机世界(Computerworld)》的编辑Tony Bradley撰文指出,“以‘弃用IE浏览器’作为应对措施的问题在于,这更进一步加深了错误的安全意识。要知道其它浏览器、程序或操作系统也是不完美的,尤其是在黑客怀有特殊目的并使用高端技术的情况下。”Bradley的言下之意便是弃用IE的做法是不明智的。
此外,微软可信赖计算集团总经理George Stathakopoulos发表声明称:“我们依然对这些攻击保持警惕,并希望我们的用户能通过恰当的方式来自我保护。因此我们建议仍在使用IE6、IE7的用户要尽快把
浏览器升级到IE8。仍在使用Windows XP SP2系统的用户也需把浏览器升级至IE8,并启用数据执行保护(Data Execution Protection,DEP),或者直接把操作系统升级至Windows XP SP3(可自动启用DEP功能)。”
虽然利用该漏洞的大规模攻击尚未出现,但是谁也不能保证它不会到来,所以,升级你的IE6浏览器吧。当然,大家也需要注意操作系统的自动更新和最近的安全提示,微软有可能会在下个月的“补丁日”之前发布相关的安全补丁。
标签:IE相关IE6IE漏洞