微軟釋出緊急更新修補IE零時差漏洞

微軟釋出緊急更新修補IE零時差漏洞



MS13-008主要修補IE中的遠端攻擊程式漏洞，相關漏洞影響IE 6、IE 7與IE 8，並不影響較新的IE 9及IE 10。先前曾透過Fix it執行臨時修補的用戶則可於安裝此一更新後將其移除。

微軟於周一（1/14）釋出MS13-008以修補IE的零時差漏洞。

微軟在去年底就已揭露該漏洞，但當時僅提供臨時的Fix it修補工具，而且也來不及在上周二（1/8）的例行性更新日修補，一直到本周才有完整的修補程式出爐。

MS13-008主要修補IE中的遠端攻擊程式漏洞，當使用者以IE造訪一個特製的網頁時，成功攻擊該漏洞的駭客便有機會取得使用者權限，該安全更新則修改了IE處理記憶體物件的方式。相關漏洞影響IE 6、IE 7與IE 8，並不影響較新的IE 9及IE 10。

微軟可信賴運算總經理Dustin Childs表示，微軟已看到針對該漏洞的有限攻擊，但可能有更多的客戶受到影響，多數用戶不需採取任何行動便能自動下載及安裝更新，並鼓勵其他用戶儘快進行手動更新，另外建議用戶升級到未受該漏洞波及的IE 9或IE 10。

至於那些曾透過Fix it執行臨時修補的用戶則可於安裝此一更新後將其移除。

根據資安業者的調查，此次針對IE漏洞的攻擊行動是採用Watering hole攻擊手法，駭客先針對目標族群常上的網站嵌入惡意程式，等這些目標族群以有漏洞的瀏覽器造訪該站時進行攻擊，駭客可能來自中國，所設定的目標族群為國防產業。（編譯/陳曉莉）

轉載自《iThome》