此篇文章的原始版本裡提到Windows XP不會有針對此弱點的修補程式。不過微軟已經發佈了針對此弱點的安全更新(MS14-021),其中也包含了Windows XP。本文也隨之更動相應段落。
在上週末,微軟發布了安全通報2963983,內容描述一個Internet Explorer的新零時差漏洞。(它被分配CVE編號為CVE-2014-1776)。
這個遠端執行程式碼漏洞讓攻擊者可以在受害者系統內執行程式碼,如果該使用者連上了攻擊者所控制的網站。雖然已知的攻擊針對了三個版本的IE(IE9到IE11),但是它相關的漏洞存在於今日還在使用中的所有IE瀏覽器版本(從IE6一直到IE11)。
這樣一個嚴重的漏洞並不完全只有壞消息。首先,該漏洞只會用系統登入使用者的相同權限來執行程式碼。因此,如果使用者帳號沒有系統管理者權限,惡意程式碼就不會以系統管理者權限執行,這部分地降低了風險。(當然,這僅僅是當使用者帳號沒有被設定為系統管理者時才成立。)
其次,一些解決方法已經被提供在微軟的通報內;其中以啟用增強地受保護模式(一個只存在於IE10和IE11的功能)最容易做到。漏洞攻擊碼需要使用Adobe Flash才能執行,因此停用或移除IE瀏覽器的Flash Player也會降低此漏洞的威脅。
更新於2014年4月28日,美西時間中午12:30
這是第一個會影響Windows XP而不會被修補的漏洞。停止了對軟體和作業系統的支援,讓使用者和和組織更容易受到威脅。不過,也有一些解決方案可以幫助解決或減輕此一困境。虛擬修補可以補足傳統的修補程式管理策略,因為它可以在實際修補程式可用前,先「虛擬修補」受影響的系統。另一個好處是,它可以「虛擬修補」支援終止的應用程式。例如,趨勢科技Deep Security就一直在支援Windows 2000上的漏洞問題,甚至在此作業系統支援終止之後。 繼續閱讀