早些時候我們提到微軟就IE瀏覽器腳本引擎存在的零日漏洞發布公告 , 該漏洞被發現前已經在野外遭到黑客利用。
攻擊者利用釣魚網站或郵件誘導用戶訪問特製的釣魚網站即可觸發漏洞,然後可獲得與用戶相同級別的管理許可權。
若用戶本身是管理員許可權則攻擊者也可以獲得管理員許可權,進而安裝其他惡意軟體甚至直接控制用戶的整個電腦。
微軟將製作安全更新進行修復:
按微軟說明該公司正在製作安全更新對該漏洞進行修復,其中主要受支持的包括InternetExplorer 9、10、11版。
若用戶仍然使用已經結束支持的版本則無法獲得安全更新,但用戶可以通過本文提到的辦法對漏洞攻擊進行緩解。
值得注意的是IE 9-11版分別對應的是Windows 7、Windows 8.1和Windows 10,但Windows 7剛剛結束支持。
因此即便微軟發布針對IE9版的安全更新Windows 7 普通用戶可能也無法獲得更新 , 但ESU付費擴展用戶可獲得。
當然還有個可以避免該漏洞的辦法就是不要使用IE瀏覽器,也不要點擊任何陌生郵件中的超鏈接也可以確保安全。
本次修復將不會發布帶外更新:
按理說如此級別的安全漏洞微軟應該會快速發布更新,不過此次發現的零日漏洞微軟已經確認不會發布帶外更新。
所謂帶外更新即指的是附帶的修補程序,通常此類修補程序會通過微軟每月例行發布的累積更新修復特定的漏洞。
有時候帶外更新會在例行更新日前提前發布,而這次零日漏洞微軟不會發布帶外更新需要等到下個月例行更新日。
因此微軟的這次做法看起來倒是有些奇怪,因為這種已經在野外被利用的漏洞危害性更高按理說需要及時被修復。
不過既然微軟已經說了需要等到下個月的例行更新日,那企業管理員最好現在還是提前部署好漏洞的緩解措施吧。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/269726.html
微信掃一掃 
支付寶掃一掃 