近日，微軟表示，黑客們正利用存在于IE8與IE9之中尚未修復(fù)的某個(gè)關(guān)鍵性安全漏洞，目前公司的工程師們正在積極通過(guò)更新加以挽救。

與傳統(tǒng)處理方式一樣，微軟對(duì)此次威脅采取了淡化處理。

“報(bào)告中只列舉了數(shù)量有限的幾條針對(duì)IE8與IE9的攻擊，不過(guò)該問(wèn)題確實(shí)有可能影響所有IE版本，”Trustworthy Computing集團(tuán)發(fā)言人Dustin Childs在上周二早晨的一篇博文中指出。

“我們正在積極開發(fā)安全更新，旨在解決這個(gè)問(wèn)題，”Childs補(bǔ)充稱。

根據(jù)Childs以及今天微軟公布的安全咨文的說(shuō)法，安全漏洞的影響面涉及所有受支持IE版本，從12年前的IE6到目前尚未正式推出的IE11無(wú)一幸免——IE11瀏覽器直到今年10月18日才會(huì)隨Windows 8.1一同面世。

“沒(méi)有任何一個(gè)版本能完全擺脫這次的安全威脅，”云安全供應(yīng)商CloudPassage公司DevOps主管Andrew Storms這樣描述漏洞對(duì)各微軟瀏覽器版本的廣泛影響。“IE中的零日漏洞絕不是好事，一旦影響所有版本、問(wèn)題就變得更為嚴(yán)重。”

雖然微軟在安全咨文中并未說(shuō)明，但該漏洞確實(shí)可以通過(guò)經(jīng)典的“偷渡式”攻擊戰(zhàn)術(shù)加以利用。這意味著黑客們只需要引導(dǎo)攻擊目標(biāo)訪問(wèn)惡意網(wǎng)站——或者已經(jīng)遭到破壞并加載了攻擊代碼的合法網(wǎng)站——即可劫持其Windows設(shè)備上的瀏覽器并植入惡意內(nèi)容。

在推出實(shí)際補(bǔ)丁之前，微軟公司向客戶們提出幾條自我保護(hù)建議，其中包括配置EMET 4.0、運(yùn)行微軟的“Fixit”自動(dòng)化工具從而為包含有IE渲染引擎的DLL文件提供“夾層”。

EMET(即增強(qiáng)減災(zāi)體驗(yàn)工具)是一款專為高級(jí)用戶打造的工具，主要幫助企業(yè)IT專業(yè)人士通過(guò)手動(dòng)方式啟用反漏洞技術(shù)，例如針對(duì)特定應(yīng)用的ASLR(地址空間布局隨機(jī)化)以及DEP(數(shù)據(jù)執(zhí)行保護(hù))。

不過(guò)Fixit才是最適合個(gè)人用戶的方案：微軟在Fixit工具的支持網(wǎng)站上提供了一條鏈接，客戶只需要點(diǎn)擊圖標(biāo)并將其標(biāo)記為“啟用”即可。過(guò)去面對(duì)其它意料之外的突發(fā)性攻擊活動(dòng)時(shí)，微軟已經(jīng)多次利用夾層方案保護(hù)IE安全。

根據(jù)以往慣例，微軟Fixit的解決辦法可能是利用應(yīng)用程序兼容性工具包在每次啟動(dòng)時(shí)在內(nèi)存中對(duì)IE核心庫(kù)進(jìn)行修改——所謂IE核心庫(kù)是一個(gè)名為“mshtml.dll”的DLL(動(dòng)態(tài)鏈接庫(kù))文件，其中包含瀏覽器的渲染引擎。夾層本身無(wú)法修正bug，只是會(huì)讓瀏覽器對(duì)已經(jīng)被微軟所發(fā)現(xiàn)的外部威脅免疫。

用戶也可以暫時(shí)舍棄IE、使用其它備用瀏覽器，例如谷歌的Chrome或者M(jìn)ozilla的火狐，從而防止自己在微軟公布永遠(yuǎn)性修復(fù)補(bǔ)丁之前遭受惡意攻擊。

微軟目前拒絕透露修復(fù)IE漏洞的具體時(shí)間，但現(xiàn)在距離下一輪“周二補(bǔ)丁日”只有三周之遙，軟件巨頭的安全團(tuán)隊(duì)很可能搶在10月9日之前公布所謂“計(jì)劃外”更新。

微軟其實(shí)很少公布計(jì)劃外更新：上一次發(fā)布的計(jì)劃外更新為MS13-008，發(fā)布于今年1月14日，旨在修復(fù)自2012年12月以來(lái)肆虐于IE6、IE7以及IE8瀏覽器之上的漏洞。