微軟於周二(9/17)釋出2887505安全通告,警告剛現身的IE零時差漏洞,並提供Fix it與相關安全建議。

微軟才在上周二(9/10)進行每月的例行性更新,但並未修補到此一新的IE漏洞。微軟安全回應團隊表示,目前已發現少數的目標式攻擊案例,鎖定IE 8與IE 9,但該漏洞可能影響所有的IE版本。

根據微軟說明此一漏洞表示, IE存取記憶體中已被刪除或未曾妥善放置的物件時,可能造成記憶體毀損,而讓駭客得以透過遠端執行任意程式。駭客也許會打造專門攻擊該漏洞的網站,或是先攻陷合法網站,並引誘使用者造訪。

微軟提供了一些可減輕該威脅的方法,包括將網路及區域網路安全區域等級設為「高」,以及要求IE在執行Active Scripting之前必須先提醒,或是直接關閉 Active Scripting功能。

此外,微軟也打造了Fix it工具程式來進行暫時解決,該程式目前僅支援32位元的IE版本,而且在安裝Fix it之前,必須先安裝微軟於上周釋出的MS13-069安全公告中的2870699更新。Fix it並不能用來取代安全更新,微軟亦正著手打造正式版的安全更新程式。(編譯/陳曉莉)

熱門新聞

Advertisement