微软和安全专家表示,周二,黑客已经在利用Windows XP中未修补的ie浏览器漏洞。
微软和外部安全专家称,黑客正在利用周二Windows XP中未打补丁的IE (IE)漏洞。
该缺陷,确定为CVE-2014至1815年,是两个微软周二为IE6,IE7,IE8,IE9,IE10和IE11发布了关键更新补丁之一。在随行安全公告微软指出,在昨天的更新之前,黑客已经知道这个漏洞,并且已经使用过。
公告称:“微软意识到有一些攻击试图利用Internet Explorer的这个漏洞。”
但由于Windows XP上月耗尽了支持权限,运行旧操作系统的用户没有收到IE安全更新,Windows Vista、Windows 7和Windows 8电脑的用户也是如此。
同样在周二,微软重申已经修复了Windows XP的最后一个漏洞。在最强的信号还它将坚持它的计划 - 这对于一个IE 5月1日紧急补丁的XP一直是一次性的交易 - “支持政策的Windows XP中端仍停留在地方前进”公司发言人说,
最初,Windows XP是与IE6捆绑在一起的,但随着时间的推移,用户不断升级到IE7和IE8。IE8是微软推出5年之久的最新款可以运行在XP上的浏览器。如果XP仍然被支持,XP pc肯定会收到更新。
“这是第一个明显适用于Windows XP的建议,”Rapid7安全工程高级经理罗斯·巴雷特(Ross Barrett)昨日在一封电子邮件中表示。“IE6、IE7和IE8在Windows [Server] 2003上容易受到攻击;这在历史上可能会映射到XP补丁的相同范围,但这次没有。”
正如巴雷特所指出的,微软的安全公告中列出的Windows Server 2003受到了该漏洞的影响。服务器软件周二打了补丁,因为它的支持寿命要到2015年7月14日。
CVE-二○一四年至1815年是一个典型的“偷渡式”漏洞,它可以简单地通过欺骗IE用户访问一个恶意或损害的网站被触发。只要未打补丁的Internet Explorer中达到这样一个网站,该漏洞跃起行动起来,立即劫持PC和硬盘驱动器上坚持的恶意软件。
由于Windows XP上的IE6、IE7和IE8将不会打补丁,用户将继续受到这些恶意攻击的攻击。
大多数安全专家敦促坚持使用XP的用户切换到另一种浏览器,这种浏览器仍然会收到更新:谷歌的Chrome, Mozilla的Firefox和Opera软件公司的Opera都符合这个要求。根据《计算机世界》的研究,XP用户抛弃IE可以大大降低他们的风险。
微软昨日打了补丁的其它Windows XP漏洞也没有修复。“我们可以假设,Windows Server 2003的任何漏洞也适用于XP。对这个月来说,这意味着至少是MS12-029 (IE)、MS12-024 (ASLR)和MS12-025(集团简介)。”
总之,这三个安全更新修补当月共有13四个漏洞了。
对于那些无法放弃IE的人,微软提供了一些变通方法,据说可以帮助抵御攻击,包括那些在Windows XP上运行的浏览器。然而,微软警告说,这种解决方法有负面的副作用,可能会使一些网站无法使用。安全公告ms14 - 029包括那些解决方法的指令。
用户可以部署的另一个权责工具是增强缓解体验工具包(Enhanced Mitigation Experience Toolkit, EMET),这是一个在Windows XP上工作的免费反利用工具。EMET 4.1可从微软网站下载。
CVE-2014-1815是由谷歌瑞士办公室的安全工程师Clement Lecigne向微软报告的。
Lecigne三个月前成为新闻他被授予$ 10,000个通过互联网错误赏金(IBB),一个新的计划资助由Facebook和微软。IBB切Lecigne检查查找Adobe Flash Player的严重漏洞。Lecigne捐赠了$ 10,000到黑客慈善非营利性。
格雷格Keizer涵盖微软,安全问题,苹果,Web浏览器和通用技术重大新闻的计算机世界。按照格雷格在Twitter上@gkeizer,在Google +或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@computerworld.com。
看到更多信息由Gregg Keizer在Computerworld.com上发布。
阅读更多关于恶意软件和漏洞在计算机世界的恶意软件和漏洞主题中心。
这个故事,“微软坚定地发誓,让XP暴露在持续的攻击中”,最初发表于《计算机世界》 。