1月12日凌晨,微軟公司按慣例發布了本月安全更新,包括1個“危急”補丁和1個“重要”補丁。但出人意料的是,正在被黑客大面積攻擊的IE瀏覽器CSS“圣誕”漏洞仍未得到修復。目前,網民已可以通過360安全衛士等打補丁工具下載安裝微軟的最新補丁。
根據360安全中心介紹,微軟本月補丁“漏掉”了兩個已經公開披露的0day漏洞,第一個是IE“圣誕”漏洞,第二個是Windows圖形渲染引擎漏洞。其中,IE“圣誕”漏洞威脅程度極高,已經被黑客利用制作了上千個掛馬網頁,主要為在線小游戲、小說網站、音樂網站以及不良網站;Windows圖形渲染引擎漏洞的威脅程度則要小得多,只有開啟了“預覽模式”的Windows用戶才有可能受到該漏洞攻擊,因此并不會大規模影響普通網民。
國際知名的網絡漏洞管理公司Rapid7也對于微軟沒有修復IE“圣誕”漏洞表示驚訝。該公司研究人員認為:“微軟僅僅發布了兩款補丁,這是很令人吃驚的,因為它們并沒有修復惡意攻擊者開始利用的漏洞(IE‘圣誕’漏洞)。在未來一段時間中,我們將會看到未修復漏洞被全面攻擊的現象。”
據悉,IE“圣誕”漏洞最早是在去年圣誕節前曝光,影響IE6、IE7、IE8等主流瀏覽器版本,涉及90%以上的中國網民。目前,360安全衛士已針對IE“圣誕”漏洞推出了臨時補丁,在微軟官方補丁修復漏洞前可以有效免疫漏洞危害。
附:微軟1月補丁信息
1、Windows備份管理組件DLL預加載遠程代碼執行漏洞
MS11-001 安全等級:重要
描述:Windows備份管理組件存在一處DLL預加載遠程代碼執行漏洞, 當用戶瀏覽一個存在于攻擊者控制的惡意WebDav共享上的Windows備份管理文件時,可能導致惡意的DLL代碼被執行,安裝惡意程序或竊取用戶隱私。
影響系統:Windows Vista
2、微軟數據訪問組件遠程代碼執行漏洞
MS11-002 安全等級:高危
描述:Windows 數據訪問組件存在兩處遠程代碼執行漏洞, 當用戶訪問一個攻擊者精心構造的惡意網頁時,可能導致攻擊者的惡意代碼得到執行,安裝惡意程序或竊取用戶隱私
影響系統:Windows XP/2003/Vista/2008/Windows 7
進入論壇>>推薦閱讀
東軟1億元控股望海康信從醫療入手正式進軍ERP,與用友金蝶正面交鋒。東軟還在與四五家醫療企業洽談并購事宜。盧朝霞指出,并購的目的主要有幾個,要么是補充產品線,要么是收購客戶群,要么是沖著人才而去。 新醫改帶>>>詳細閱讀
本文標題:IE圣誕高危漏洞微軟仍未補 360臨時補丁可免疫攻擊
地址:http://m.sdlzkt.com/a/xie/20111230/189082.html
網友點評
精彩導讀
科技快報
品牌展示