微软已发布紧急安全更新 修补10个IE浏览器漏洞

CNET科技资讯网4月1日国际报道 微软30日发布紧急安全更新，修补10个IE浏览器漏洞，包括一个被用来发动大规模攻击的严重漏洞。

这次更新共修补9个私下通报和1个已曝光的漏洞。其中最严重的可导致远端程序执行，若使用者造访恶意网站，可能让电脑完全被外人控制。

微软表示，IE8和Windows 7使用者不受已知攻击的影响。这次更新也包含另两项被列为“重要”等级的Windows Movie Maker和Microsoft Producer 2003漏洞补丁，及Office Excel的7个漏洞。

Metasploit数据库首席工程师、Rapid7首席安全官HD Moore说：我们已预见这些类型的漏洞出现。我们预估每几个月会发生至少一次，利用这类IE漏洞发动的大规模攻击，而修补的空窗期至少三周…。

Moore表示，新版软件的使用者也不应掉以轻心，根据过往经验，攻击者很快就会找到可用的漏洞。他说：刺探Windows 7、64位元Windows和IE8漏洞的技术愈来愈高明。

赛门铁克安全情报经理Joshua Talbot表示，最近尝试利用IE漏洞进行的攻击数量，有升高趋势。他说：典型的行动似乎涉及破坏某个合法网站，然后插入一个iFrame，重导使用者到另一个恶意的网站。

浏览器安全厂商Trusteer CEO Mickey Boodaei也说：这一波零时差（IE）攻击幕后的黑客，将开始对微软的更新作逆向工程，开发出IE8的攻击方法。

微软最初在三周前警告，利用一项严重IE漏洞的攻击已出现，并在最近一次例行更新日发布安全公告981374。

这次更新影响的软体包括Windows XP、Vista、Windows 7、Office XP、Office 2003、2007、Microsoft Office System、Office 2004和2008 for Mac、Office Excel Viewer、Office Compatibility Pack for Word、Excel，和PowerPoint 2007档案格式、Office Sharepoint Server 2007及Producer 2003。