根據一份來自Zero-Day Initiative的報告顯示,自2013年10月以來,某個困擾IE8的重大安全漏洞,已經被放任瞭7個多月。ZDI堅持瞭“隻有那些超過瞭180天卻仍未修復的漏洞,才會被披露”的原則。而在這份報告中,其指出,當用戶瀏覽到一個被精心設計的網站時,該漏洞將使得攻擊者在IE8中運行任意代碼。
其實早在去年10月,微軟就已經意識到瞭這個問題。但遺憾的是,該公司竟然將它放任到瞭現在。往好瞭猜測,我們可以認為該漏洞確實難以修復。
但若往壞瞭想,很可能是Windows XP的官方支持已終止,並且IE8是XP系統所支持的IE瀏覽器的最高版本,於是該公司選擇故意放任之。
ZDI表示,它沒有看到有關該漏洞的活躍利用報告,但這並不意味著用戶遇不到危險。
對此,微軟發言人表示:“我們將盡快制作每一個可徹底修復的漏洞補丁,然而某些修復工作卻略復雜,並且需要針對不同的配置、對每一個項目進行全面的測試”。
除瞭升級操作系統,微軟還建議用戶將IE8的“Internet安全選項”設置為“高”、配置在運行活動腳本前進行提示或禁用、以及安裝EMET增強減災工具包。
Orignal From: 困擾IE8.0的0-Day漏洞已被放任7個月
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。