首页 > 信息安全 > 正文

微软新年首批安全补丁暂未修复IE圣诞漏洞

2011-01-14 07:14:00  来源:赛迪网

摘要:2011年1月12日凌晨,微软公司按惯例发布了本月安全更新,包括1个“危急”补丁和1个“重要”补丁。但出人意料的是,正在被黑客大面积攻击的IE浏览器CSS“圣诞”漏洞仍未得到修复。
关键词: 微软 安全补丁 圣诞

  2011年1月12日凌晨,微软公司按惯例发布了本月安全更新,包括1个“危急”补丁和1个“重要”补丁。但出人意料的是,正在被黑客大面积攻击的IE浏览器CSS“圣诞”漏洞仍未得到修复。

  根据360安全中心介绍,微软本月补丁“漏掉”了两个已经公开披露的0day漏洞,第一个是IE“圣诞”漏洞,第二个是Windows图形渲染引擎漏洞。其中,IE“圣诞”漏洞威胁程度极高,已经被黑客利用制作了上千个挂马网页,主要为在线小游戏、小说网站、音乐网站以及不良网站;Windows图形渲染引擎漏洞的威胁程度则要小得多,只有开启了“预览模式”的Windows用户才有可能受到该漏洞攻击,因此并不会大规模影响普通网民。

  国际知名的网络漏洞管理公司Rapid7也对于微软没有修复IE“圣诞”漏洞表示惊讶。该公司研究人员认为:“微软仅仅发布了两款补丁,这是很令人吃惊的,因为它们并没有修复恶意攻击者开始利用的漏洞(IE‘圣诞’漏洞)。在未来一段时间中,我们将会看到未修复漏洞被全面攻击的现象。”

  据悉,IE“圣诞”漏洞最早是在去年圣诞节前曝光,影响IE6、IE7、IE8等主流浏览器版本,涉及90%以上的中国网民。目前,360安全卫士已针对IE“圣诞”漏洞推出了临时补丁,在微软官方补丁修复漏洞前可以有效免疫漏洞危害。

  

\

 

  图: IE“圣诞”漏洞攻击被拦截

  附:微软1月补丁信息

  1、Windows备份管理组件DLL预加载远程代码执行漏洞

  MS11-001 安全等级:重要

  描述:Windows备份管理组件存在一处DLL预加载远程代码执行漏洞, 当用户浏览一个存在于攻击者控制的恶意WebDav共享上的Windows备份管理文件时,可能导致恶意的DLL代码被执行,安装恶意程序或窃取用户隐私。

  影响系统:Windows Vista

  2、微软数据访问组件远程代码执行漏洞

  MS11-002 安全等级:高危

  描述:Windows 数据访问组件存在两处远程代码执行漏洞, 当用户访问一个攻击者精心构造的恶意网页时,可能导致攻击者的恶意代码得到执行,安装恶意程序或窃取用户隐私

  影响系统:Windows XP/2003/Vista/2008/Windows 7


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lyfzlj

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。