美国国土安全部(DHS)建议不要使用IE浏览器防止零日漏洞引发攻击
早些时候我们提到微软就IE浏览器脚本引擎存在的零日漏洞发布公告 , 该漏洞被发现前已经在野外遭到黑客利用。
攻击者利用钓鱼网站或邮件诱导用户访问特制的钓鱼网站即可触发漏洞,然后可获得与用户相同级别的管理权限。
若用户本身是管理员权限则攻击者也可以获得管理员权限,进而安装其他恶意软件甚至直接控制用户的整个电脑。
然而现阶段微软并未发布安全更新对该漏洞进行修复,这意味着用户若继续使用该浏览器的话就会存在安全风险。
基于该漏洞存在较高安全风险因此美国国土安全部也发布安全公告建议用户暂时切换到其他浏览器等待安全更新。
发布该安全建议主要是当然仍然有许多用户使用IE浏览器,而这枚漏洞的相关细节其实有些黑客也已经成功发掘。
如果攻击者制作特定的钓鱼网站或钓鱼邮件诱导用户点击的话,那么用户就可能会中招并且没有任何交互动作等。
因为用户也很难发现自己已经遭到攻击者入侵,而攻击者们则可以获得相同权限安装更多恶意软件执行恶意操作。
基于此美国国土安全部建议IE用户暂时切换到MicrosoftEdge或其他浏览器,直到微软推出新安全更新再换回来。
按理说如此级别的安全漏洞微软应该会快速发布更新,不过此次发现的零日漏洞微软已经确认不会发布带外更新。
所谓带外更新即指的是附带的修补程序,通常此类修补程序会通过微软每月例行发布的累积更新修复特定的漏洞。
有时候带外更新会在例行更新日前提前发布,而这次零日漏洞微软不会发布带外更新需要等到下个月例行更新日。
因此微软的这次做法看起来倒是有些奇怪,因为这种已经在野外被利用的漏洞危害性更高按理说需要及时被修复。
不过既然微软已经说了需要等到下个月的例行更新日,那企业管理员最好现在还是提前部署好漏洞的缓解措施吧。