A-A+

[緊急] 微軟釋出緊急更新修補IE漏洞KB979352

2010年01月21日 微軟相關 暫無評論

微軟可信賴運算安全總經理George Stathakopoulos週二(1/19)承諾,將針對駭客用來攻擊Google及其他業者的IE漏洞提供緊急更新,預計於今日宣佈更新時程。

此一新的IE漏洞影響所有視窗作業系統上的IE版本,成功的攻擊將可掌控使用者電腦。根據微軟的說明,駭客可以設計一個含有惡意程式的網站,或在合法網站上嵌入惡意程式或廣告,進行IE漏洞攻擊。

由於此波目標式攻擊行動著眼於竊取企業智慧財產,而且已有數十家知名企業受到影響,資安業者McAfee技術長George Kurtz更表示,這是近年來他所見到最大型且精密的目標式攻擊,使得法國及德國政府相繼出面呼籲使用者暫時改用其他品牌的瀏覽器。

不過,微軟強調,迄今所得知的成功攻擊都是鎖定IE 6,建議使用者儘快更新到IE 8。

微軟表示,在Windows XP、Vista及Windows 7上的IE 8啟用了資料執行保護(Data Execution Protection,DEP)功能,另外,Windows Vista以後的視窗作業系統上的IE都有保護模式,皆限制了該漏洞的影響。

然而,已有資安業者表示,駭客仍可成功攻陷啟動DEP的IE8。亦有研究人員宣稱已有可攻擊Windows XP及Vista系統上IE 7的程式,只是皆尚未獲微軟證實。

即使微軟不斷澄清目前的威脅狀況很有限,而且多是屬於目標式攻擊,但因該起事件因Google的大動作而引發了全世界的關注,為了避免客戶騷動及日益嚴重的威脅環境,微軟仍決定釋出緊急更新。

資料來源 : http://www.ithome.com.tw/itadm/article.php?c=59212

還在用IE6、7的網友,去微軟的官網http://support.microsoft.com/kb/979352下載更新吧。

這一次微軟很快地發佈對應的修補程式(Patch),但是好像還沒有納入自動更新之中,而事實上微軟應該也知道世界上可能有一半以上的電腦自動更新都是關閉的,所以他們請大家手動安裝這一個更新程式囉!

  • 修正的項目:主要是修正DEP(Data Execution Protection)的權限,因為舊版的權限太鬆了在瀏覽有問題的網頁的時候,整台電腦的控制權就會被駭客取得,進而用你的電腦來作壞事
  • 安裝方式:找到網頁中間的兩個下載連結左邊的【Microsoft Fix it 50285】是啟用,這就是要修正的程式

接下來在這個「檔案下載」的視窗按【執行】(或者是你要在很多台電腦安裝那就先儲存)

當然也是要【我同意】才能【下一步】

如果要停用DEP的功能則是一樣在這個頁面右邊的修正程式

標籤: