2013-01-28

微軟釋出緊急更新修補IE零時差漏洞


微軟釋出緊急更新修補IE零時差漏洞



MS13-008主要修補IE中的遠端攻擊程式漏洞,相關漏洞影響IE 6、IE 7與IE 8,並不影響較新的IE 9及IE 10。先前曾透過Fix it執行臨時修補的用戶則可於安裝此一更新後將其移除。

微軟於周一(1/14)釋出MS13-008以修補IE的零時差漏洞

微軟在去年底就已揭露該漏洞,但當時僅提供臨時的Fix it修補工具,而且也來不及在上周二(1/8)的例行性更新日修補,一直到本周才有完整的修補程式出爐。

MS13-008主要修補IE中的遠端攻擊程式漏洞,當使用者以IE造訪一個特製的網頁時,成功攻擊該漏洞的駭客便有機會取得使用者權限,該安全更新則修改了IE處理記憶體物件的方式。相關漏洞影響IE 6、IE 7與IE 8,並不影響較新的IE 9及IE 10。

微軟可信賴運算總經理Dustin Childs表示,微軟已看到針對該漏洞的有限攻擊,但可能有更多的客戶受到影響,多數用戶不需採取任何行動便能自動下載及安裝更新,並鼓勵其他用戶儘快進行手動更新,另外建議用戶升級到未受該漏洞波及的IE 9或IE 10。

至於那些曾透過Fix it執行臨時修補的用戶則可於安裝此一更新後將其移除。

根據資安業者的調查,此次針對IE漏洞的攻擊行動是採用Watering hole攻擊手法,駭客先針對目標族群常上的網站嵌入惡意程式,等這些目標族群以有漏洞的瀏覽器造訪該站時進行攻擊,駭客可能來自中國,所設定的目標族群為國防產業。(編譯/陳曉莉)

轉載自《iThome》

沒有留言:

張貼留言