近日����,IE瀏覽器出現(xiàn)一個(gè)最新的高危“零日漏洞”,據(jù)卡巴斯基安全專家介紹,該漏洞是一個(gè)典型的遠(yuǎn)程代碼執(zhí)行漏洞���,它能通過(guò)特定的方式重復(fù)導(dǎo)入CSS樣式表而觸發(fā)漏洞。目前微軟官方網(wǎng)站已對(duì)此漏洞發(fā)布了 安全公告(CVE-2010-3971) ���,但并沒(méi)有透露何時(shí)將發(fā)布補(bǔ)丁���。
據(jù)了解��,2010年微軟共發(fā)布106款安全補(bǔ)丁��,數(shù)量之高堪稱歷史之最��。尤其是今年的8月����、10月、12月����,微軟單月發(fā)布的補(bǔ)丁數(shù)量接連刷新紀(jì)錄。其中��,12月被稱為微軟有史以來(lái)發(fā)布補(bǔ)丁最多的一個(gè)月份,微軟公司宣稱將在該月發(fā)布創(chuàng)紀(jì)錄的17款補(bǔ)丁軟件��,用于修復(fù)Windows操作系統(tǒng)��、IE瀏覽器����、Office軟件等存在的40個(gè)安全漏洞。
微軟如此密集的發(fā)布系統(tǒng)補(bǔ)丁也再次證明了微軟系統(tǒng)目前仍然存在大量的漏洞�����。所謂系統(tǒng)漏洞是指應(yīng)用 軟件 或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤��,被不法者利用���,通過(guò)網(wǎng)絡(luò)植入木馬���、病毒等方式來(lái)攻擊或控制整個(gè)電腦,竊取電腦中的重要資料和信息����,甚至破壞該電腦的系統(tǒng)。
以此次出現(xiàn)的“零日漏洞”為例�����,由于該漏洞是微軟IE瀏覽器畸形CSS規(guī)則導(dǎo)入遠(yuǎn)程代碼執(zhí)行的漏洞,因此對(duì)IE6����、IE7、IE8及所有IE內(nèi)核瀏覽器都會(huì)產(chǎn)生影響�。并且,目前利用該漏洞的攻擊代碼已經(jīng)在互聯(lián)網(wǎng)中公布��, 因此被黑客利用進(jìn)行掛馬的可能性極大����。而且元旦將至��,目前正是人們網(wǎng)絡(luò)購(gòu)物的高峰期��,如果黑客利用該“零日漏洞”來(lái)傳播近期泛濫的‘購(gòu)物’木馬����,通過(guò)漏洞將木馬植入廣大用戶的電腦中,進(jìn)而篡改網(wǎng)上支付鏈接���,使用戶在毫無(wú)察覺(jué)的情況就將購(gòu)物的錢直接打進(jìn)黑客的賬戶里��,從而導(dǎo)致個(gè)人財(cái)產(chǎn)受到侵害的嚴(yán)重后果�����。
針對(duì)“零日漏洞”有可能帶來(lái)的威脅�����,卡巴斯基實(shí)驗(yàn)室已及時(shí)做好防范���,被業(yè)界稱為首款“交易型安全軟件”的安全部隊(duì)2011�����,其核心功能點(diǎn)就是對(duì)網(wǎng)銀及在線交易的保護(hù)�����,對(duì)網(wǎng)絡(luò)中比較常見(jiàn)的盜號(hào)�����、掛馬以及釣魚(yú)網(wǎng)站都有比較好的預(yù)防功效�����,并且可以主動(dòng)攔截漏洞����,保護(hù)用戶安全。同時(shí)�����,卡巴斯基專家提醒廣大用戶��,對(duì)待微軟系統(tǒng)漏洞����,千萬(wàn)不能大意。用戶除使用專業(yè)安全軟件與及時(shí)更新軟件病毒庫(kù)的同時(shí)�,還應(yīng)該養(yǎng)成遠(yuǎn)離不良網(wǎng)站、不隨意下載安裝可疑插件及不接收可疑文件等良好的上網(wǎng)習(xí)慣�。
