IE不久将成为Windows 10中的可选浏览器,不过微软仍在争取尽快修复漏洞以保证用户安全,但事实证明它修复的速度依然不够快。惠普零日计划(ZDI)刚刚发布了在IE浏览器中找到的四个0day漏洞。按照ZDI的政策,如果供应商在收到通知后120天内未完成修复, ZDI将会公之于众。
从ZDI提供的信息来看,这四个漏洞都允许实施远程代码执行,而且攻击者将获得和登录用户同样的权限。在网络攻击场景中,攻击者能够建立一个特殊编制的网站以通过IE浏览器利用这些漏洞,随后说服用户浏览该网站。此外,攻击者还可利用被攻陷的站点,以及接受或托管着由用户提供信息或广告的站点。这些站点可能会包含能够利用这些漏洞的且特殊编制的内容。
最重要的是,攻击者需要用户点击恶意链接才能实施攻击,因此如果没有点击用户就是安全的。此外,安全专家表示目前不可能出现漏洞利用代码,而且由于缺少细节信息,逆向工程也很难。因此安全专家建议在微软修复漏洞之前,暂时停止使用IE浏览器。
将于下周发布的Windows 10也支持IE浏览器,到时微软会发布另外一个带外补丁。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。