微软紧急发布针对IE 0-day漏洞的补丁

通常情况下微软在每月的第二个周二发布补丁，但是这次却打破了这个惯例，在美国时间 12月17日发布了一个定为“危急”级别的补丁——Microsoft Security Bulletin MS08-078 – Critical: Security Update for Internet Explorer (960714)。

北京时间12月10日，就在微软发布当月补丁（12月9日）不到1天的时间，出现了最新的针对IE7的零日漏洞攻击，黑客利用此漏洞植入有害的 JavaScript ，透过微软 Internet Explorer7.0 网页浏览器中SDHTML 在处理 XML 时的弱点，对网页浏览者进行攻击。（详情可参考Jason同学的博文“小谈IE7 0Day漏洞攻击步骤及原理”）

就在攻击出现的第二天（12月11日），微软证实该漏洞不仅存在于IE7中，而是广泛存在于微软的浏览器产品中，包括IE5、IE6、IE7、IE8 Beta 2。并且所有使用IE核心的浏览器及使用IE相关组件的应用程序都会受到影响，其中包括傲游、腾讯TT，The World，微软Office软件等。

从漏洞爆发到补丁推出仅仅过了不到8天的时间，这足以表明微软对该漏洞的重视，显示了微软的雄厚的技术实力，同时却也从一个侧面表明了该漏洞带来的严重危害迫使微软打破常规发布危急补丁。

据趋势科技网络安全专家Paul Ferguson表：“根据趋势科技所掌握的数据，由于该IE漏洞被曝光，全球已有百万台电脑遭到攻击或感染病毒。”而现在微软已经推出了针对该漏洞的补丁，“IE用户应当用‘跑’而不是‘走’的速度尽快安装这款补丁。”

对于还未打上这款补丁的用户，趋势科技建议您使用非IE核心的浏览器来避免威胁。

补丁下载地址：

http://www.microsoft.com/technet/security/bulletin/ms08-078.mspx

进入该网址后请在Affected Software中选择自己使用的相应操作系统和浏览器版本对应的补丁文件。

示意图

Peter Zang