2013年5月9日

微軟證實IE 8 出現零時差漏洞

微軟證實IE 8 出現零時差漏洞

近來傳出已有駭客針對未修補的IE 8漏洞進行攻擊,微軟已於上周五(5/3)證實該瀏覽器版本的確含有漏洞,並正進行修補。

 

資安業者Invincea上周指出,駭客攻陷美國勞工部網站的某些網頁,將造訪者導至其他網站並使其下載木馬程式,駭客利用的就是IE 8漏洞。因此舉凡使用IE 8瀏覽器的使用者皆可能受駭。進一步分析發現,被駭的網頁都與核災有關,應屬水坑攻擊(Watering Hole),駭客鎖定的是那些專門研發核武、來自美國能源部的員工。

 

Invincea在通報微軟後,微軟則證實了該漏洞的存取,並正展開調查,初步顯示只有IE 8含有該漏洞,其他諸如IE 6IE 7IE 9IE 10皆未受影響。

 

微軟表示,該漏洞是因為IE存取了記憶體中已被移除或未被適當擺放的物件,造成記憶體毀壞並導致遠端程式攻擊漏洞。

 

微軟還未決定何時修補該漏洞,但提出了權宜補救措施,並建議使用者升級到其他IE版本。根據Net Applications的調查數據,目前IE的各種版本中就以IE 8的市佔率最高,達23.08%IE 918.17%IE 66.22%IE 10則佔了6.02%。然而,對於Windows XP的使用者來說,IE 8是所能夠使用的微軟官方瀏覽器的最高版本,微軟並不允許Windows XP使用者升級到更新的IE 9IE 10

沒有留言:

搜尋

標籤

總瀏覽量