微软发布了一个安全顾问今天警告一个关键的用户和应用补丁的漏洞在Internet Explorer (IE),并承认,用于攻击了几个公司的网络。
“我们已经决定,Internet Explorer的向量用于目标和复杂的攻击谷歌和可能的其他公司网络,”Mike Reavey说微软的安全响应中心主任(MSRC)文章的博客。
今天早些时候,杀毒公司McAfee说IE漏洞被利用被黑客攻击计算机网络的近三打大公司2009年12月中旬至1月4日,2010年。McAfee表示,微软会很快释放这个咨询。
的安全咨询说,IE的唯一版本不包含关键缺陷是IE 5.01上运行Windows 2000。所有其他版本,包括IE6, IE7和IE8在Windows 2000, XP,服务器2003,Vista服务器2008,Windows 7和Server 2008 R2是容易受到攻击。
即便如此,Reavey淡化平均Windows用户的威胁。“微软还没有看到广泛客户的影响,而只针对利用此时IE6和有限的攻击,”他说。
说:“所有版本的IE零日安德鲁风暴,nCircle网络安全安全操作主管”,这是绝不对微软有利。唯一令人鼓舞的消息是,有工具,保护Vista和Windows 7在IE7和更新,以便利用会崩溃(这些浏览器),而不是允许代码执行。”Storms was referring to security provisions within IE, including DEP (data execution prevention) and Protected Mode, on newer versions of Windows.
微软的Reavey锤回家。”保护模式在Windows Vista和IE 7后显著减少攻击者的能力影响数据在用户的机器上,“Reavey说。“顾客也应该启用数据执行预防,这有助于减轻网络攻击。”
虽然在IE8 DEP是在默认情况下,它必须手动开启网页在IE6和IE7中。用户可以启用环保局通过使用“修理”工具微软已经发布在其支持的网站。
McAfee今天早些时候指出,一个IE用户的电脑可以通过指导浏览器劫持只是一个恶意网站,或被感染的合法网站,攻击代码。
微软表示,用户还可以保护自己在某种程度上通过设置电脑的网络区域的安全“高”选项,但警告说,它不是成功的。“重要的是要注意,脆弱的代码可能达到即使这些保护措施到位,”该公司表示在咨询。“然而,任何攻击都会与这些解决方法不太成功。”
该公司没有设置一个时间表产生补丁,但风暴确信微软会争相尽快得到一些东西。“肯定他们会做一个带外更新,“说风暴,使用术语的安全解决微软每月外补丁发布时间表。“公共关系方面要开车。”
风暴指的是批评,微软肯定会收获作为供应商的软件让黑客闯入许多主要的西方公司。
微软去年发布了带外更新具有讽刺意味的是,在2009年7月下旬,当它修补IE前几个小时几个研究人员在安全会议上展示了漏洞。
袭击周二首次曝光,当谷歌宣布中国攻击了公司网络的知识产权,也试图访问中国人权活动人士的Gmail帐户。
谷歌表示,攻击,以及增加中国政府的网络审查制度,引发了重新评估它的业务。同一天,Adobe承认其机器也被黑客入侵。
微软IE的攻击已经使用的默认中国黑客进入谷歌和Adobe的两家公司注入网络浏览器的bug报告。
早期的报告,其中包括通过计算机世界,指向零日漏洞在Adobe的读者黑客利用的漏洞。
McAfee今天了这样的言论,称虽然没有调查每一个攻击,它曾与几个目标公司和发现的证据只有一个弱点:即零日。
下一个周二例行微软补丁是2月9日。
格雷格Keizer包括微软,安全问题,苹果,网络浏览器和计算机世界通用技术新闻。在Twitter上关注格雷格@gkeizer,发送电子邮件到gkeizer@ix.netcom.com或者格雷格订阅的RSS提要。
谷歌背后的这个故事,”微软证实即零日攻击”最初发表的《计算机世界》 。