根据一份来自Zero-Day Initiative的报告显示,自2013年10月以来,某个困扰IE8的重大安全漏洞,已经被放任了7个多月。ZDI坚持了“只有那些超过了180天却仍未修复的漏洞,才会被披露”的原则。而在这份报告中,其指出,当用户浏览到一个被精心设计的网站时,该漏洞将使得攻击者在IE8中运行任意代码。 其实早在去年10月,微软就已经意识到了这个问题。但遗憾的是,该公司竟然将它放任到了现在。往好了猜测,我们可以认为该漏洞确实难以修复。 但若往坏了想,很可能是Windows XP的官方支持已终止,并且IE8是XP系统所支持的IE浏览器的最高版本,于是该公司选择故意放任之。 ZDI表示,它没有看到有关该漏洞的活跃利用报告,但这并不意味着用户遇不到危险。 对此,微软发言人表示:“我们将尽快制作每一个可彻底修复的漏洞补丁,然而某些修复工作却略复杂,并且需要针对不同的配置、对每一个项目进行全面的测试”。 除了升级操作系统,微软还建议用户将IE8的“Internet安全选项”设置为“高”、配置在运行活动脚本前进行提示或禁用、以及安装EMET增强减灾工具包。 [编译自:Cnet , 来源:ZDI]
