1月12日凌晨,微軟公司按慣例發(fā)布了本月安全更新���,包括1個(gè)“危急”補(bǔ)丁和1個(gè)“重要”補(bǔ)丁��。但出人意料的是����,正在被黑客大面積攻擊的IE瀏覽器CSS“圣誕”漏洞仍未得到修復(fù)。目前���,網(wǎng)民已可以通過(guò)360安全衛(wèi)士等/補(bǔ)丁工具下載安裝微軟的最新補(bǔ)丁��。
根據(jù)360安全中心介紹��,微軟本月補(bǔ)丁“漏掉”了兩個(gè)已經(jīng)公開披露的0day漏洞����,第一個(gè)是IE“圣誕”漏洞���,第二個(gè)是Windows圖形渲染引擎漏洞��。其中����,IE“圣誕”漏洞威脅程度極高���,已經(jīng)被黑客利用制作了上千個(gè)掛馬網(wǎng)頁(yè)���,主要為在線小游戲���、小說(shuō)網(wǎng)站、音樂網(wǎng)站以及不良網(wǎng)站;Windows圖形渲染引擎漏洞的威脅程度則要小得多����,只有開啟了“預(yù)覽模式”的Windows用戶才有可能受到該漏洞攻擊,因此并不會(huì)大規(guī)模影響普通網(wǎng)民���。
國(guó)際知名的網(wǎng)絡(luò)漏洞管理公司Rapid7也擻諼⑷礱揮行薷碔E“圣誕”漏洞表示驚訝��。該公司研究人員認(rèn)為:“微軟僅僅發(fā)布了兩款補(bǔ)丁,這是很令人吃驚的�,因?yàn)樗鼈儾]有修復(fù)惡意攻擊者開始利用的漏洞(IE‘圣誕’漏洞)。在未來(lái)一段時(shí)間中����,我們將會(huì)看到未修復(fù)漏洞被全面攻擊的現(xiàn)象。”
據(jù)悉����,IE“圣誕”漏洞最早是在去年圣誕節(jié)前曝光��,影響IE6���、IE7、IE8等主流瀏覽器版本��,涉及90%以上的中國(guó)網(wǎng)民����。目前,360安全衛(wèi)士已針對(duì)IE“圣誕”漏洞推出了臨時(shí)補(bǔ)丁����,在微軟官方補(bǔ)丁修復(fù)漏洞前可以有效免疫漏洞危害。
360安全衛(wèi)士攔截IE“圣誕”漏洞攻擊
附:微軟1月補(bǔ)丁信息
1�、Windows備份管理組件DLL預(yù)加載遠(yuǎn)程代碼執(zhí)行漏洞
MS11-001 安全等級(jí):重要
描述:Windows備份管理組件存在一處DLL預(yù)加載遠(yuǎn)程代碼執(zhí)行漏洞, 當(dāng)用戶瀏覽一個(gè)存在于攻擊者控制的惡意WebDav共享上的Windows備份管理文件時(shí)����,可能導(dǎo)致惡意的DLL代碼被執(zhí)行,安裝惡意程序或竊取用戶隱私��。
影響系統(tǒng):Windows Vista
2�、微軟數(shù)據(jù)訪問組件遠(yuǎn)程代碼執(zhí)行漏洞
MS11-002 安全等級(jí):高危
描述:Windows 數(shù)據(jù)訪問組件存在兩處遠(yuǎn)程代碼執(zhí)行漏洞,當(dāng)用戶訪問一個(gè)攻擊者精心構(gòu)造的惡意網(wǎng)頁(yè)時(shí),可能導(dǎo)致攻擊者的惡意代碼得到執(zhí)行��,安裝惡意程序或竊煊沒б私
影響系統(tǒng):Windows XP/2003/Vista/2008/Windows 7
