微軟下周釋出修補程式 一項 IE 弱點未補
微軟上週四表示,預定於週二 (2/9) 釋出的安全修補程式將包含 13 個安全公告。
這也是過去 4 年來微軟於 2 月間公佈的最大規模安全公告,Rapid 7 安全策略部門資深總監 Sheldon Malm 說。
下周的修補程式將包含 5 項「重大」等級的安全公告。2 項會影響微軟 Office,7 項會影響微軟 Windows 作業系統。
Malm 指出,所有微軟作業系統,包括 Vista 和 Windows 7 都會獲得修補程式。「微軟若亡羊補牢想修補去年的弱點,也是理所當然。」他在電子郵件中說道。
但本月有一項尚未修補的弱點卻可能出現在 Internet Explorer 中。微軟週三發佈的安全公告,表示它正在針對數版 IE 中的弱點進行調查。
「我們調查到目前為止,發現使用者執行的是沒有保護模式下的 IE 版本,攻擊者就可以存取已知檔名和地點的檔案。」
Core Security 指出,攻擊者必須引誘使用者點入 URL 或造訪惡意網站,才能藉此入侵 IE。得逞的攻擊者可讀取使用者系統上的檔案,但無法任意執行各種程式碼。
微軟也列出數種可能防止攻擊的方法。
上個月微軟緊急為 IE 發佈例外安全修補程式。待修補的弱點可能被中國駭客用於攻擊 Google 及其他公司系統。