|
||||
最新XML漏洞危害幾乎所有網民 360獨家推出補丁
12月9日下午,360安全中心緊急宣布,監測到一個非常嚴重的微軟最新XML安全漏洞,將影響到所有使用IE控件的程序,包括各主要瀏覽器、郵件客戶端、辦公軟件、Rss訂閱器以及可嵌入網頁的所有第三方軟件,影響范圍極其廣泛。更嚴重的是,截至目前微軟仍未發布針對這一最新XML漏洞的官方補丁。為防止由該漏洞導致的大規模木馬疫情的爆發,360安全中心在全球范圍內率先開發和推出了補丁程序。
目前,360安全中心已監控到有黑客開始利用微軟最新XML漏洞瘋狂傳播木馬,幾乎全體網民都面臨著由這一漏洞導致的嚴重安全威脅:不管是用IE、傲游、騰訊TT等瀏覽器上網,還是用Word、WPS等辦公軟件閱讀文檔,或用Outlook和Foxmail等郵件客戶端查閱郵件,以及通過抓蝦、周伯通、看天下等RSS訂閱器查看新聞時,都有可能中招。針對該漏洞的攻擊甚至可能波及火狐等安全性較高的瀏覽器。
據360安全專家石曉虹博士介紹,該漏洞可由IE中用來解析HTML語言的動態鏈接庫MSHTML.DLL觸發。黑客事先精心構造一段能觸發該漏洞的XML格式文件或代碼,並將該文件或代碼嵌入某個HTML網頁、Word、RSS等相關應用的文件中,一旦受害用戶使用上述任何一種IE控件相關的程序去打開這個文件,黑客就能在用戶電腦中運行任意一種木馬。
據了解,在地下交易網站中,針對該漏洞的攻擊代碼的售價已從12萬元急降至完全公開和免費,這意味著對此漏洞的黑客攻擊已經由研究進入實戰階段,未來一段時間利用該漏洞的掛馬網頁數量必然呈激增趨勢。360安全中心每天通過搜索引擎對上億網頁進行網頁自動掛馬實時分析,同時借助3000萬活躍用戶的代碼上傳,纔能在第一時間截獲相應的木馬樣本。為防止大范圍木馬入侵,360安全中心在全球范圍內率先開發和推出了針對該漏洞的補丁程序。凡是360安全衛士的用戶,均可直接安裝360提供的漏洞補丁程序(請登錄www.360.cn下載補丁),避免受到更多木馬的侵襲。其他用戶請盡快登錄360官網(www.360.cn)下載最新的360安全衛士後,再下載安裝該漏洞補丁。
同時,安全專家推薦廣大用戶使用360安全瀏覽器,可自動攔截利用該漏洞制作的惡意網頁,有效保護網民上網安全。360安全中心提醒用戶,面對漏洞頻發、木馬猖獗的網絡環境,一定要徹底摒棄『事後查殺』的僥幸心理,養成勤打補丁、定期掃描的上網安全習慣。定期昇級360安全衛士,確保第一時間修復系統,纔能將將木馬病毒與您的電腦徹底隔離。
截至發稿前,微軟官方仍未公布該漏洞的任何信息。