微软证实黑客利用IE漏洞 承诺将修复

9月19日消息,据国外媒体报道,微软于当地时间9月19日发布了一则安全通告,证实了IE网络浏览器存在一个未修复的漏洞。该公司目前正在努力进行安全修补。

这份安全通告强调了“零日(zero-day)”漏洞,这表示一个漏洞在未有补丁之前被发现及利用,研究员艾瑞克·罗芒(Eric Romang)于上周末发现了这一漏洞。黑客工具Metasploit开源架构周一针对这个漏洞公布了一个利用模块,这迫使微软不得不迅速应对。

微软可信赖计算部门主管Yunsun Wee在微软安全应对中心(Microsoft Security Response Center)的博客中声称,“我们已经收到了小部分遭受攻击的报告,并且我们正致力于开发出安全更新来解决该IE漏洞。”

2001年IE6、2006年IE7、2009年的IE8以及去年的IE9都存在漏洞。这些版本的浏览器八月的使用率占总浏览器的53%。仅有IE10未发现这种安全漏洞,该浏览器与新版Windows 8绑定在一起。

nCircle安全公司的安全运营主管安德鲁·斯多姆斯(Andrew Storms)表示,“微软周一的安全通告是意料之中的事,我认为微软必定向外公告此事,许多的人都在期待及等待微软发布官方的声明。”

据报道,本周早些时候,微软声称它们正在调查可能的漏洞,但并未保证会发布补丁。

此次发现的漏洞被评为“高危级”,这是微软公司最高的威胁评级。利用IE浏览器该漏洞黑客可以执行代码,向计算机中置入恶意软件。

在发布新的安全补丁之前,微软推荐用户使用EMET 3.0(Exploit Mitigation Experience Toolkit)来预防攻击,并将IE浏览器的安全防护级别设置为“高”,并在执行一些脚本时设置浏览器显示警示信息。

斯多姆斯表示,“我觉得微软在处理这一件的问题上显得比较慢。”

此外,微软推荐使用的EMET3.0可于其官网上下载。