早些时候我们提到微软就IE浏览器脚本引擎存在的零日漏洞发布公告 , 该漏洞被发现前已经在野外遭到黑客利用。
攻击者利用钓鱼网站或邮件诱导用户访问特制的钓鱼网站即可触发漏洞,然后可获得与用户相同级别的管理权限。
若用户本身是管理员权限则攻击者也可以获得管理员权限,进而安装其他恶意软件甚至直接控制用户的整个电脑。
微软将制作安全更新进行修复:
按微软说明该公司正在制作安全更新对该漏洞进行修复,其中主要受支持的包括InternetExplorer 9、10、11版。
若用户仍然使用已经结束支持的版本则无法获得安全更新,但用户可以通过本文提到的办法对漏洞攻击进行缓解。
值得注意的是IE 9-11版分别对应的是Windows 7、Windows 8.1和Windows 10,但Windows 7刚刚结束支持。
因此即便微软发布针对IE9版的安全更新Windows 7 普通用户可能也无法获得更新 , 但ESU付费扩展用户可获得。
当然还有个可以避免该漏洞的办法就是不要使用IE浏览器,也不要点击任何陌生邮件中的超链接也可以确保安全。
本次修复将不会发布带外更新:
按理说如此级别的安全漏洞微软应该会快速发布更新,不过此次发现的零日漏洞微软已经确认不会发布带外更新。
所谓带外更新即指的是附带的修补程序,通常此类修补程序会通过微软每月例行发布的累积更新修复特定的漏洞。
有时候带外更新会在例行更新日前提前发布,而这次零日漏洞微软不会发布带外更新需要等到下个月例行更新日。
因此微软的这次做法看起来倒是有些奇怪,因为这种已经在野外被利用的漏洞危害性更高按理说需要及时被修复。
不过既然微软已经说了需要等到下个月的例行更新日,那企业管理员最好现在还是提前部署好漏洞的缓解措施吧。