根据外媒报道,微软近日确认发现了一个新的零日(zero-day)漏洞,它可能会影响到数百万个IE用户。微软表示,这个漏洞可能会影响到运行在Windows XP/Vista/Windows 7/ Windows Server上的IE 6/7/8/9,而最新的Windows 8与集成在内的IE10不受影响。德国政府在周二的时候以这个漏洞可能引发黑客广泛攻击为由建议公众停止使用微软的IE浏览器,可见这个漏洞的潜在破坏力是多么巨大。
虽然现在并不清楚究竟会有多少用户受到这个漏洞的影响,但是根据StatCounter的统计数据,微软IE浏览器的全球市场份额为32.8%,可见这个漏洞一旦被众多黑客利用起来,是非常可怕的。到目前为止,微软尚未发布相应的补丁,只建议用户下载Enhanced Mitigation Experience Toolkit v3.0来暂时应付这个漏洞。
这个漏洞是可怕的
不管是从范围上还是从危害的角度来看,这个漏洞都是非常严重的。微软表示,黑客们可以通过这个漏洞来获得跟当前用户一样的权限。换句话说,黑客可以在你的电脑上做任何事情:比如说装一个窃听软件,直接弄崩溃你的电脑,或者执行其他恶意代码等。病毒安全公司赛门铁克也证实了这个漏洞,并发现了相关的恶意软件。
根据微软的说法,为了方便利用这个漏洞,黑客们可以创建一个精美的网站,在用户访问的时候会扫描这个漏洞,如果存在的话就会偷偷得做一些小白所不知道的事情。
这个漏洞是由安全专家Eric Romang发现的,当然Metasploit的成员也做出了不少贡献(编者注:Metasploit是一款开源的安全漏洞检测工具,通过渗透测试来查找机器上的漏洞)。
用户应该做些什么?
一些安全研究员指出,在微软没有发布补丁之前,用户应该远离IE。虽然这有点极端,但是却十分管用。相对而言,Chrome和Firefox不会轻易受到黑客的攻击,安全性更高。另外,用户可以安装相应的反病毒软件来防御这个漏洞所带来的攻击:著名的McAfee表示,公司正在研究这个漏洞,很快用户就可以通过更新来获得相应的保护。
如果用户使用的是旧版的IE,不妨趁着现在把它升级到系统所支持的最新版本。除此之外,用户不应该随意打开一个嵌有HTML代码的邮件,以防止恶意代码在你的机器上运行。用户也不要轻易点击邮件上的连接,因为它们有可能会把你带到一个恶意的页面上去,让黑客有机可乘。