Microsoft为攻击提供了紧急补丁,即
微软很少提到Internet Explorer(IE),但是当它确实时,它通常意味着坏消息。
因此,它是星期三,当Microsoft发出了一个罕见的紧急安全性更新时,请在仍在支持的IE9,IE10和IE11中插入关键漏洞。谷歌通过Google Security Engineer Clement LeCigne向Microsoft报告了缺陷。
根据Microsoft,攻击者已经利用漏洞,使其成为经典的“零日”错误。因此,该公司在1月8日预定的下一轮安全更新之前发布了修复。
该更新已发出给Windows 7,8.1和10 - 后者,具有版本1607及更高版本的修补程序 - 以及Windows Server 2008,2012,2016和2019。(适用于Windows 10 - 1607和1703的某些版本的更新 - 仅适用于Windows 10 Enterprise和Windows 10教育。)
“脚本引擎处理Internet Explorer中内存中的对象的方式存在远程代码执行漏洞,”Microsoft在CVE-2018-8653支持文档中陈述。“漏洞可能以这样的方式损坏内存,即攻击者可以在当前用户的上下文中执行任意代码。”
可以简单地通过将IE9,IE10或IE11的用户绘制到恶意网站,或许使用网络钓鱼电子邮件来利用该漏洞。
微软在2016年初减少了遗产状态;虽然公司承诺继续修补浏览器的漏洞,但它停止了改善或增强它。微软仍然维修IE的唯一原因是Windows 7,8.1和10的业务用户可以继续运行自定义Web应用程序和老年的Intranet站点。未来,微软再次上述时间和时间,是边缘,只在Windows 10上运行。
11月,IE仅占全局浏览器用户共享的9.6%,由Analytics供应商Net应用程序测量,以及所有Windows PC的大约11%。那些数字掩盖了一个更严重的问题:在前面的12个月内,即失去了用户的五分之一,不可持续的衰退率。
将自动提供IE安全修复程序,下载并安装在大多数非托管Windows PC上。