微软称,黑客正在利用IE8和IE9的关键,但没有打补丁,漏洞。它的工程师正在努力更新,以堵塞漏洞。
微软今天表示,黑客正在利用在Internet Explorer 8(IE8)和Internet Explorer 9(IE9)的关键,但没有打补丁,漏洞和它的工程师正在更新工作,以堵塞漏洞。
像往常一样,该公司淡化了这一威胁。
[也:15个免费安全工具你应该尝试]
“虽然这个问题可能会影响到所有支持的版本,但只有有限数量的针对ie8和ie9的有针对性的攻击报告,”达斯汀·蔡尔兹(Dustin Childs)说,他是可信计算集团的经理和通常的发言人博客后周二上午。
“我们正在积极努力开发一个安全更新来解决这个问题,”Childs补充道。
据蔡尔兹和安全咨询微软今天还公布,该漏洞影响IE的所有受支持版本,从12岁的IE6在还未正式发布的IE11,将伴随的是Windows 8.1时,船10月18日的浏览器。
“没有人能逃脱这一个,”安德鲁风暴,在云安全厂商CloudPassage DevOps的主任说,指的是影响了微软的浏览器的所有版本的bug。“IE零日绝对不是一个好东西,特别是当它们影响到每一个版本中,”风暴补充。
尽管微软的顾问并没有把它在这些方面,该漏洞可以用经典的“偷渡式”进攻战术被利用。这意味着黑客只需要运行IE浏览器访问恶意网站诱骗受害者 - 或以前已受到损害,并装载了攻击代码的合法网站 - 劫持他们的Windows PC浏览器和设备的恶意软件。
直到微软产生一个补丁,该公司提供客户多种选择,以保护自己,包括建议有关配置EMET 4.0和运行的“垫片”包含了IE渲染引擎的DLL它的“皿”的自动化工具之一。
EMET(增强的缓解体验工具包)是一款专为高级用户的工具,主要是企业IT专业人员,可以手动启用反利用技术,如ASLR(地址空间布局随机化)和DEP(数据执行保护)为特定的应用。
但皿路线将是最容易为个人用户:微软发布了链接到皿工具在其支持网站,客户只需要点击图标标记为“启用”。微软使用前垫片的方法当面对对IE意想不到的攻击。
根据以往的惯例,微软的皿解决方法可能使用的应用程序兼容性工具包来修改IE浏览器的核心库 - 名为包含浏览器的渲染引擎“的Mshtml.dll”一个DLL(动态链接库) - 每次在内存中运行IE浏览器。垫片不撤销的bug,而是使浏览器不受微软在野外见过迄今为止的攻击。
用户还可以暂时抛弃IE的其他浏览器,如谷歌的Chrome浏览器或Mozilla的Firefox,确保安全,直到微软想出了一个永久性的修复。
微软今天拒绝透露何时计划修补IE漏洞。但由于未来定期调度补丁星期二为3周了,它可能在华盛顿Redmond公司的安全团队将10月9日之前,提供一个所谓的“出带外”更新。
出带外从微软更新是罕见的:最后一个它运是MS13-008这是1月14日发布的一个紧急补丁,该补丁填补了IE6、IE7和IE8自2012年12月初以来的漏洞。
格雷格·科泽尔为计算机世界涵盖微软,安全问题,苹果,网络浏览器和一般技术的突发新闻。在推特上关注格雷格@gkeizer, 上Google+的或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
了解更多关于端点安全在Computerworld的端点安全主题中心。
这个故事,“黑客利用了关键的IE漏洞;微软承诺“补丁”最初是由计算机世界 。