Microsoft 最新發布 Internet Explorer (IE) 網路瀏覽器的修補程式(
IE 積存資訊安全更新 - 978207),並建議使用者盡速下載更新,以彌補近期 Google 等數家大型企業遭受的中國駭客攻擊所發現的漏洞。
微軟今日在其安全性網站上,發布特殊安全性修補程式,可填補 8 個 IE 軟體漏洞,當中包括據信為中國駭客事件中遭到利用的〝遠端執行程式碼 (remote code execution)〞安全弱點。
根據了解,這批駭客先吸引 IE 使用者連上一網站,讓其電腦載入惡意程式碼,再透過該弱點控制使用者的個人電腦,竊取有用資料。微軟表示,新的修補程式「非常緊急重要」,IE 使用者應該儘快下載更新,以補強其軟體。
這啟駭客攻擊來勢洶洶,不僅刺激 Google 揚言撤出中國市場,且影響範圍擴及數十家全球大型企業,甚至牽動德國及法國政府資安當局,出面警告使用 IE 的安全性疑慮,並建議應在微軟解決漏洞前使用其他瀏覽器。嚴重程度,逼使微軟在每月例行的修補程式日外,發布緊急修補工具。
Symantec 的安全研究員 John Harrison 周四指出,其他駭客已開始利用上述 IE 漏洞,他們已在 100 多個網站上,偵測到利用此漏洞的病毒。而這類攻擊最可怕的地方是,此用者毋需進行任何下載,就會染上病毒受駭。
這個資訊安全更新可解決 Internet Explorer 中七項未公開報告的弱點,以及一項公開揭露的弱點。 較嚴重的弱點可能會在使用者以 Internet Explorer 檢視蓄意製作的網頁時,允許遠端執行程式碼。 系統上帳戶使用者權限較低的使用者,其受影響的程度比擁有系統管理權限的使用者要小。
對於所有受支援版本的 Internet Explorer,此資訊安全更新的等級為重大: Internet Explorer 5.01、Internet Explorer 6、Internet Explorer 6 Service Pack 1、Internet Explorer 7 及 Internet Explorer 8 (除了適用於 Windows Server 2003 受支援版本的 Internet Explorer 6 之外)。 對於所列出的適用於 Windows Server 2003 受支援版本的 Internet Explorer 6 而言,本更新的等級為「中度」。 如需更多資訊,請參閱本節中的<受影響及不受影響的軟體>小節。
本資訊安全更新透過修改 Internet Explorer 處理記憶體內物件、驗證輸入參數及篩選 HTML 屬性的方式,來解決這些弱點。 如需更多有關弱點的資訊,請參閱下節<弱點資訊>下的<常見問題集 (FAQ)>小節。
這個資訊安全更新也能解決首先於 Microsoft 安全性摘要報告 979352 中提出的弱點。
建議。 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。 沒有啟用自動更新的客戶則必須檢查更新,並手動安裝更新。 如需有關自動更新中特定設定選項的資訊,請參閱 Microsoft 知識庫文件編號 294871。
若是系統管理員和企業安裝,或是想要手動安裝此資訊安全更新的使用者,Microsoft 建議客戶使用更新管理軟體,立即套用更新,或使用 Microsoft Update 服務檢查更新。
另請參閱本公告下文的<偵測與部署工具及指南>章節。
已知問題。 無
沒有留言:
發佈留言