Microsoft在星期一发布了紧急安全更新,以修补Internet Explorer(IE)中的漏洞,这些传统浏览器主要由商业客户使用。
由Clement LeCigne向微软报告的缺陷已经被谷歌“威胁分析组(标签)的安全工程师已经被攻击者利用,使其成为经典的”零日“,这是一个积极使用之前的脆弱性补丁已到位。
在附带IE修补程序的版本的安全公告中,Microsoft标记了错误的错误一个远程代码漏洞,这意味着通过利用错误,将恶意代码引入浏览器中的恶意代码。远程代码漏洞,也称为远程代码执行,或RCE漏洞是最严重的。这种严重性,以及犯罪分子已经利用这种脆弱性的事实,体现在微软决定上“摆脱乐队”或脱离通常的修补周期,以堵塞洞。
传统上,Microsoft在每个月的第二个星期二提供安全更新,即所谓的“修补周二”。下一个此类日期将是10月8日,或两周内。
“在基于Web的攻击场景中,攻击者可以托管一个专门制作的网站,该网站旨在通过Internet Explorer利用漏洞,然后说服用户以查看网站,例如,通过发送电子邮件,”Microsoft写在“公告。
微软表示,该错误在IE“S脚本引擎中,但没有详细说明。
Microsoft发布了Windows 10,Windows 8.1,Windows 7,Windows Server 2019,Windows Server 2016,Windows Server 2012和2012 R2以及Windows 2008和2008 R2的安全更新。所有仍有支持的IE的版本被修补,包括IE9,IE10和主导IE11。
IE通过引入Windows 10降级为第二公民身份,但微软一直坚持认为它将继续支持浏览器。IE,特别是IE11,在许多企业和组织中仍然是运行老年网络应用和内部网站的许多企业和组织所必需的。浏览器可以在大大重写的Microsoft Edge中撤退到“模式”中 - 而独立的废弃 - 但IE将以某种形式居住。
尽管如此,它不再是街区最受欢迎的孩子:根据Web Analytics供应商网络应用程序的最新数据,即占所有基于Windows的浏览活动的9%。相比之下,边缘的所有窗口的份额约为7%。
根据在更新包的描述中的信息,紧急IE修复仅通过Microsoft Update目录可用。用户必须将浏览器转向该网站,然后下载并安装更新。找到IE更新的最简单方法是通过使用安全公告中收集的操作系统适当的KB(对于知识库)中的链接。(没有人说微软让它变得简单。)
包括Windows Update和Windows Server Update Services(WSUS)的自动维修源是今天开始提供带外更新。
这不是Microsoft第一次打开Internet Explorer的第一次用于脚本漏洞被黑客利用。2018年12月,雷德蒙德洗了。开发人员发布了紧急安全更新,以处理IE“S”脚本引擎处理内存中的对象,“星期一使用的确切语言”。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。