微软证实IE浏览器存在远程漏洞 危险级别并不高

　　据美国CNET网站报道，今天，微软官方证实，上周网络上所公布的微软IE6和IE7浏览器爆出远程代码漏洞确实存在，但是截至目前为止，在调查该漏洞过程中尚未发现这些漏洞对用户的计算机产生任何影响。 　　微软表示，上周五，Bugtraq安全邮件列表中发表了利用IE6和IE7的安全漏洞的攻击代码。代码没有相应的解释说明。微软星期一称，它正在对这个安全漏洞展开调查。现在，微软可以官方证实，这些公开的可利用代码将会对IE6和IE7产生影响，但是不会影响到IE8。微软在声明中还称，目前还不知道任何利用这个安全漏洞实施的攻击或者任何用户受到了影响。　 　　微软认为，该攻击代码是利用了CSS(串联样式表)样式。赛门铁克也曾在博客文章中说，“正是由于CSS的脆弱性，使得IE浏览器成为漏洞攻击的目标”。 　　根据浏览器排行榜的数据显示，目前，IE6和IE7浏览器的用户在全球浏览器用户中占有41%的份额，而IE8的用户则大约只有18.1%左右。相对而言全球的IE6.0和IE7浏览器用户群体比较的庞大。 　　上周末，赛门铁克的研究人员指出，IE6和IE7中的这个可利用漏洞显示了IE浏览器拙劣的可靠性，不过这个利用安全漏洞的代码目前还不稳定，预计在不久的将来，攻击者就会利用这个漏洞对用户计算机发起攻击，而且攻击方式将更为隐蔽和高明。 　　据丹麦安全漏洞跟踪厂商Secunia表示，这个漏洞是在IE浏览器的布局分析器中，可能被黑客用来对Windows XP SP3计算机的用户发起攻击。此外，Secunia公司将IE6、IE7浏览器中的漏洞等级评定为“非常严重”。而赛门铁克公司认为，该漏洞危险级别并不高。 　　据了解，微软暂时并没有透露哪一款Windows操作系统将会受到这个IE漏洞的威胁。但是，Windows Vista中的默认浏览器是IE7，而Windows 7中的默认浏览器是IE8，因此，Windows 7很有可能会免受影响。 　　此外，微软也拒绝透露这个IE6、IE7漏洞修复的相关计划。微软发言人表示，目前，微软正在对这个IE漏洞进行调查，一旦调查完毕就会对用户采取相应的保护政策，很有可能是通过“月度安全补丁”提供安全更新。 　　微软将会在12月8日正式提供安全更新。 　　周六，赛门铁克敦促用户使自己的杀毒软件保持最新状态，由于攻击代码需要利用JavaScript才能对用户的计算机发起攻击，因此用户可以通过禁用IE6和IE7中的JavaScript功能和仅访问可信赖的网站来避免攻击。 　　早在今年的7月，IE也曾爆出重大漏洞，而且微软在安全更新周期之外的时间就发布了相应的更新补丁。这次微软从容面对这个远程代码漏洞，相信这个漏洞暂时并不会出现导致用户遭受攻击的局面。

标签:IE动态微软IE浏览器漏洞