|
||||
1月12日凌晨,微軟公司按慣例發布了本月安全更新,包括1個『危急』補丁和1個『重要』補丁。但出人意料的是,正在被黑客大面積攻擊的IE瀏覽器CSS『聖誕』漏洞仍未得到修復。目前,網民已可以通過360安全衛士等打補丁工具下載安裝微軟的最新補丁。
根據360安全中心介紹,微軟本月補丁『漏掉』了兩個已經公開披露的0day漏洞,第一個是IE『聖誕』漏洞,第二個是Windows圖形渲染引擎漏洞。其中,IE『聖誕』漏洞威脅程度極高,已經被黑客利用制作了上千個掛馬網頁,主要為在線小游戲、小說網站、音樂網站以及不良網站;Windows圖形渲染引擎漏洞的威脅程度則要小得多,只有開啟了『預覽模式』的Windows用戶纔有可能受到該漏洞攻擊,因此並不會大規模影響普通網民。
國際知名的網絡漏洞管理公司Rapid7也對於微軟沒有修復IE『聖誕』漏洞表示驚訝。該公司研究人員認為:『微軟僅僅發布了兩款補丁,這是很令人吃驚的,因為它們並沒有修復惡意攻擊者開始利用的漏洞(IE「聖誕」漏洞)。在未來一段時間中,我們將會看到未修復漏洞被全面攻擊的現象。』
據悉,IE『聖誕』漏洞最早是在去年聖誕節前曝光,影響IE6、IE7、IE8等主流瀏覽器版本,涉及90%以上的中國網民。目前,360安全衛士已針對IE『聖誕』漏洞推出了臨時補丁,在微軟官方補丁修復漏洞前可以有效免疫漏洞危害。
圖片說明:360安全衛士攔截IE『聖誕』漏洞攻擊
附:微軟1月補丁信息
1、Windows備份管理組件DLL預加載遠程代碼執行漏洞
MS11-001安全等級:重要
描述:Windows備份管理組件存在一處DLL預加載遠程代碼執行漏洞,當用戶瀏覽一個存在於攻擊者控制的惡意WebDav共享上的Windows備份管理文件時,可能導致惡意的DLL代碼被執行,安裝惡意程序或竊取用戶隱私。
影響系統:Windows Vista
2、微軟數據訪問組件遠程代碼執行漏洞
MS11-002安全等級:高危
描述:Windows數據訪問組件存在兩處遠程代碼執行漏洞,當用戶訪問一個攻擊者精心構造的惡意網頁時,可能導致攻擊者的惡意代碼得到執行,安裝惡意程序或竊取用戶隱私
影響系統:Windows XP/2003/Vista/2008/Windows 7