在谷歌研究人員發(fā)現瀏覽器中存在可能允許從遠處接管他們的計算機的嚴重問題之后,微軟已敦促 Windows 用戶更新 Internet Explorer。微軟表示12 月的安全更新版本適用于所有 Windows 版本,而不僅僅是 Windows 10,包括 Windows 8 和 Windows Server,以及返回到 Internet Explorer 8 的瀏覽器版本。
該漏洞被描述為 Internet Explorer 的腳本引擎如何處理內存中的對象的遠程代碼執(zhí)行漏洞。“該漏洞可能以一種攻擊者可以在當前用戶的上下文中執(zhí)行任意代碼的方式破壞內存,”微軟解釋說。“成功利用該漏洞的攻擊者可以獲得與當前用戶相同的用戶權限。”
如果您在漏洞利用時以具有管理權限的用戶身份登錄 Windows,則會帶來最大的風險。然后,黑客可以獲得完全控制 PC 的權限,包括創(chuàng)建新用戶帳戶、復制和刪除數據或安裝新軟件。但是,該漏洞不需要 PC 用戶安裝受感染的軟件。
相反,簡單地引誘該人訪問旨在利用安全漏洞的網站就足夠了。“在基于 Web 的攻擊場景中,”微軟概述道,“攻擊者可以托管一個特制的網站,該網站旨在通過 Internet Explorer 利用該漏洞,然后說服用戶查看該網站,例如,通過發(fā)送電子郵件。 ”
Microsoft 對這個問題的修復是更改 Internet Explorer 腳本引擎處理內存中對象的方式。如果您已將 Windows 更新打開以自動更新,并且擁有已發(fā)布的最新版本的安全更新,則應該沒問題。
但是,如果您不這樣做,Microsoft 建議所有用戶安裝最新的補丁。
安全漏洞的發(fā)現實際上是由谷歌發(fā)現的,谷歌將問題通知了微軟。微軟特別感謝谷歌威脅分析小組的克萊門特萊西涅。在確認 Microsoft Edge 瀏覽器將轉向桌面版Chromium 引擎之后。微軟公司副總裁 Joe Belfiore 表示,這應該“為我們的客戶創(chuàng)造更好的網絡兼容性,并為所有網絡開發(fā)人員減少網絡碎片化”。