微软于昨天公布了一篇最新的安全通报2963983 。这篇安全通报主要介绍了一个最新被披露的IE漏洞,漏洞涉及眼下全部受支持的IE版本号。而且包含Windows XP中的IE版本号。因为Windows XP系统已经退役,因而在此篇安全通报文章中没有将Windows XP列为受影响的系统。对于现有的Windows XP用户而言,大家可能更加关心这个漏洞对于Windows XP用户有什么影响,用户须要採取什么样的措施来进行预防。就眼下而言。我们已经发现了一些有限的、针对特定目标的攻击行为利用了这一IE漏洞,临时还没有发现大规模的针对广泛用户的攻击。和其它的浏览器安全漏洞类似。这个新漏洞有例如以下的一些基本特点:
- 此漏洞仅仅能在用户使用IE浏览器訪问特定含有攻击代码的站点时才干被利用
- 攻击者可能构造一个含有特定攻击代码的站点。然后诱骗用户去訪问该站点来实施攻击
- 攻击者也可能通过入侵合法站点,然后向其植入特定恶意代码的方式来实施攻击
- 攻击者无法对受影响的系统进行类似“冲击波”病毒的远程主动攻击
对于普通Windows用户而言。安全的浏览器使用习惯能够一定程度上降低受到此漏洞影响的风险。安全通报2963983也提供了多种缓解措施,能够帮助用户避免受到此漏洞的影响。微软也已经与MAPP项目中的安全软件合作伙伴分享了相关漏洞的情况和利用信息。这些信息有助于第三方安全软件开发出对应的病毒定义更新来阻止恶意代码在client系统执行。与此同一时候,微软正加紧对此漏洞进行研究,并制定相关安全更新的开发计划,但眼下并没有计划为已经退役的系统提供公开的安全更新。
假设大家对此漏洞有不论什么疑问,欢迎通过博客评论来进行提问,我们会对您的问题进行及时的回复。
Richard Cheng
微软安全项目经理