微软十二月安全补丁将修补上一IE零时攻击漏洞
2018-06-04北京时间12月4日消息,据国外媒体报道,微软今日表示,它将在下周二发布6个安全补丁,其中包括一个可修复IE零时攻击漏洞的补丁。微软在上周才刚刚承认那个漏洞。微软在其安全响应中心博客上表示,此次安全升级将一共修复12个漏洞,涉及的产品包括Windows、IE和Office软件套装。
第一个安全补丁将对IE5.01、IE6、IE7和IE8进行升级,这个补丁的安全级别为“严重”,也是微软补丁评级系统中的最高等级。
微软在11月23日发布的一份安全顾问书中承认,IE中存在一个零时攻击漏洞。这次的安全补丁将修复该漏洞。微软安全响应中心发言人Jerry Bryant上周在宣布发布安全顾问书的博客文章中表示:“我想指出的是,任何平台上的IE8均未受到该漏洞的影响,在Windows Vista系统中以安全模式运行IE7可以缓解这个问题。”
微软在相关概念验证型攻击代码被公开后发布了安全顾问书,那个攻击代码被发布给了流行的Bugtraq安全邮件列表中的用户。黑客可利用那个漏洞劫持安装好全部补丁的Windows系统电脑。
然而,下周二的补丁将修复微软目前仍支持的所有版本的IE浏览器中的漏洞。微软在周四已经确认了这一点。Bryant在另一篇博客文章中表示:“我们想让客户们知道,我们将在下周二修复IE公告板中第977981号安全顾问书中提到的安全漏洞。”
Bryant所说的安全顾问书就是微软上周刚刚发布的那份安全顾问书。他说:“我们知道客户们很担心这个问题,我们也知道相关的概念验证型攻击代码已经被公开了。”
微软在安全顾问书中指出了这个问题的重要性,因为运行在Windows 2000、XP、Vista、Server 2003甚至Windows 7中的所有版本的IE两年前都包含一个或更多漏洞。只有微软最新版的服务器产品Server 2008和Server 2008 R2要相对安全一点。
然而,nCircle Network Security的安全事务主管Andrew Storms表示,那并不意味着IE5.01和IE8突然就会受到上周发布的零时攻击代码的攻击。微软承认这次准备发布的IE升级补丁将修复多个漏洞。对于微软来说,用一个补丁修复多个漏洞的情况是相当罕见的。
Storms在与微软安全响应中心取得联系后表示:“上周的零时攻击代码不能攻击IE8,这次还将修复其他一些漏洞。”
微软此次打算发布的安全补丁涉及的产品还包括Windows、Office 2000、Office 2003、Microsoft Project 2000、2002以及2003。微软这次准备发布的6个补丁中有3个是严重级的补丁,其余3个是重要级的补丁。