黑客成功利用IE关键bug,微软承诺发布补丁

微软昨日表示,黑客们正利用存在于IE8与IE9之中尚未修复的某个关键性安全漏洞,目前公司的工程师们正在积极通过更新加以挽救。

与传统处理方式一样,微软对此次威胁采取了淡化处理。

“报告中只列举了数量有限的几条针对IE8与IE9的攻击,不过该问题确实有可能影响所有IE版本,”Trustworthy Computing集团发言人Dustin Childs在上周二早晨的一篇博文中指出。

“我们正在积极开发安全更新,旨在解决这个问题,”Childs补充称。

根据Childs以及今天微软公布的安全咨文的说法,安全漏洞的影响面涉及所有受支持IE版本,从12年前的IE6到目前尚未正式推出的IE11无一幸免——IE11浏览器直到今年10月18日才会随Windows 8.1一同面世。

“没有任何一个版本能完全摆脱这次的安全威胁,”云安全供应商CloudPassage公司DevOps主管Andrew Storms这样描述漏洞对各微软浏览器版本的广泛影响。“IE中的零日漏洞绝不是好事,一旦影响所有版本、问题就变得更为严重。”

虽然微软在安全咨文中并未说明,但该漏洞确实可以通过经典的“偷渡式”攻击战术加以利用。这意味着黑客们只需要引导攻击目标访问恶意网站——或者已经遭到破坏并加载了攻击代码的合法网站——即可劫持其Windows设备上的浏览器并植入恶意内容。

在推出实际补丁之前,微软公司向客户们提出几条自我保护建议,其中包括配置EMET 4.0、运行微软的“Fixit”自动化工具从而为包含有IE渲染引擎的DLL文件提供“夹层”。

EMET(即增强减灾体验工具)是一款专为高级用户打造的工具,主要帮助企业IT专业人士通过手动方式启用反漏洞技术,例如针对特定应用的ASLR(地址空间布局随机化)以及DEP(数据执行保护)。

不过Fixit才是最适合个人用户的方案:微软在Fixit工具的支持网站上提供了一条链接,客户只需要点击图标并将其标记为“启用”即可。过去面对其它意料之外的突发性攻击活动时,微软已经多次利用夹层方案保护IE安全。

根据以往惯例,微软Fixit的解决办法可能是利用应用程序兼容性工具包在每次启动时在内存中对IE核心库进行修改——所谓IE核心库是一个名为“mshtml.dll”的DLL(动态链接库)文件,其中包含浏览器的渲染引擎。夹层本身无法修正bug,只是会让浏览器对已经被微软所发现的外部威胁免疫。

用户也可以暂时舍弃IE、使用其它备用浏览器,例如谷歌的Chrome或者Mozilla的火狐,从而防止自己在微软公布永远性修复补丁之前遭受恶意攻击。

微软目前拒绝透露修复IE漏洞的具体时间,但现在距离下一轮“周二补丁日”只有三周之遥,软件巨头的安全团队很可能抢在10月9日之前公布所谓“计划外”更新。

微软其实很少公布计划外更新:上一次发布的计划外更新为MS13-008,发布于今年1月14日,旨在修复自2012年12月以来肆虐于IE6、IE7以及IE8浏览器之上的漏洞。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2013-09-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Python与爬虫

从爬虫角度来说下360快视频事件

360快视频事件 最开始好像是东方华灯宴的视频被发现被盗用,然后众用户排查发现大量B站视频被快视频盗用,连用户和评论也大量照搬,并有很多B站用户发现使用B站的用...

36613
来自专栏FreeBuf

产品经理眼中比较理想的WEB扫描器

摘要 漏洞扫描器,也叫VA(Vulnerability Assessment)漏洞评估或者VM(Vulnerability Management)漏洞管理,一直...

4478
来自专栏佳爷的后花媛

黑客故事:如何逼小偷把 iPhone 还回来的

看到一哥们太给力了,忍不住分享下.身边有太多朋友手机被偷了,要是get到这个技能.啧啧!!!还愁没有妹子?哈哈哈. 有个问题要问一问:假期有没有丢手机?以下是...

1803

企业云端的守规性操作

你有几次能完成一个1000件拼图?或者你有几次能认认真真地玩大富翁?这两种游戏都与合规(遵守规则)的过程有相似之处。

2078
来自专栏开源项目

码云周一见 | 7 款不可错过的开源智能硬件架构

近年来,不断有智能硬件产品刷新着我们对于未来生活的期待,从智能手机到智能手表,从智能手环到智能空气净化器,毫无疑问,智能硬件在互联网时代以一种令人惊异的速度飞速...

3284
来自专栏极乐技术社区

小程序一周报 | 新注册公众号将没有留言功能

微信团队为进一步规范公众平台生态环境,后续新注册的账号将没有留言功能,「最近三个月内注册,但尚未使用留言功能的账号将被收回留言权限。」

1450
来自专栏即时通讯技术

Android P正式版即将到来:后台应用保活、消息推送的真正噩梦

对于广大Android开发者来说,Android O(即Android 8.0)还没玩热,Andriod P(即Andriod 9.0)又要来了。

8653
来自专栏腾讯大数据的专栏

海量终端,秒级送达!腾讯云移动推送信鸽后台探秘

终端单连接 消息推送已经成为APP的标配,要推送就要有长连接,而长连接要靠后台服务来维持。传统的推送实现中,每个APP使用一条长连接,启动一个后台服务,你一个我...

2535
来自专栏程序创造美好世界

“腾讯云 · 开发者实验室“体验

偶然间从腾讯云 · 云+社区的实验室标签点进去,居然就发现了新大陆!

58912
来自专栏Android 开发者

更强续航,尽在 Android 9 Pie

本文为 Android 电量管理系列连载的第一篇,希望开发者能从阅读过程中收获设备续航方面的战略洞见及实践指南。

2584

扫码关注云+社区

领取腾讯云代金券