微剋多資訊

 找回密碼
 註冊

Sign in with google

Google帳號登入

搜索

該用戶從未簽到

升級   24.29%

跳轉到指定樓層
主題
發表於 2013-1-3 19:29 | 只看該作者 回帖獎勵 |倒序瀏覽 |閱讀模式
本帖最後由 z24374203 於 2013-1-3 19:30 編輯

該漏洞會造IE 6、7、8遭到遠端程式碼執行漏洞攻擊的可能性,不過IE 9、10並不會受到該漏洞的影響。(圖片來源)

微軟在聖誕節期間遭到零時差漏洞攻擊,影響範圍包括IE 6/7/8。
根據微軟指出,該漏洞會造三個版本的IE瀏覽器遭到遠端程式碼執行漏洞攻擊的可能性。微軟表示已確知某目標式攻擊嘗試透過IE 8來發動漏洞攻擊,不過IE 9/10並不會受到該漏洞的影響。


微軟表示:「該漏洞是一個遠端程式碼執弱點,其會以IE存取一個未被刪除,或在記憶體中未被適當定址之記憶體物件的方式出現。透過該漏洞,惡意攻擊者可對正處理IE之中的使用者環境執行任意程式碼,進而將造成記憶體的損壞。」攻擊者可以藉由一個精心設計,並專門鑽IE該漏洞的惡意網站,來誘騙使用者瀏覽網頁。
一個可能的Web攻擊情境會是,攻擊者會透過一個專門觸發該漏洞的惡意頁面來劫持網站,一旦網站遭劫持,該原本接受並控管使用者提供內容或廣告的網站,就會包含一些能觸發該漏洞攻擊的特製惡意內容。但不論如何,在任何可能的攻擊案例或情境中,惡意攻擊者是無法強迫使用者非要瀏覽這些惡意網站不可。


為了在正式修補程式釋出之前,能暫時協助使用者避免上述可能情況的發生,微軟特別先對外公布Fix IT變通工具,同時建議使用者採用「Microsoft Enhanced Mitigation Experience Toolkit」(EMET)安全工具,來避免該漏洞攻擊的可能性。該漏洞最早是由APT方案供應商FireEye發現的,該公司接收到美國外交關係委員會(Council on Foreign Relations, CFR)網站遭劫持,並在節禮日(Boxing Day)遭惡意內容感染的安全報告。事實上,該網站早在12月21日星期五便已遭惡意內容的入侵。安全方案商Sophos指出,其紀錄顯示該網站遭感染的確切時間可回溯至更早的12月7日,不僅如此,至少還有5個其他網站也遭到該漏洞的感染。


資料來源:SCmagazine

樓主熱門主題

該用戶從未簽到

升級   44%

2F
發表於 2013-1-3 23:25 | 只看該作者
幸好不會去用舊的瀏覽器

使用道具

該用戶從未簽到

升級   18%

3F
發表於 2013-1-4 03:53 | 只看該作者
XP系統下,在非必要性網頁灠覽下,早已不用IE,GOOGLE CHROME為主.FIREFOX為輔,
WIN7系統下亦如此。

使用道具

該用戶從未簽到

升級   7.43%

4F
發表於 2013-1-4 13:29 | 只看該作者
恩~~xp使用者有危險呃~

使用道具

該用戶從未簽到

升級   0%

5F
發表於 2013-1-5 22:48 | 只看該作者
不太用IE了,就算是新版也不太想用,可避開一堆麻煩,包括這種漏洞

使用道具

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2024-12-22 15:53

Discuz! X

© 2009-2023 Microduo

快速回覆 返回頂部 返回列表