微软公司按惯例发布了本月安全更新,包括1个“危急”补丁和1个“重要”补丁。但出人意料的是,正在被黑客大面积攻击的ie浏览器css“圣诞”漏洞仍未得到修复。目前,网民已可以通过360安全卫士等打补丁工具下载安装微软的最新补丁。
根据360安全中心介绍,微软本月补丁“漏掉”了两个已经公开披露的0day漏洞,第一个是ie“圣诞”漏洞,第二个是windows图形渲染引擎漏洞。其中,ie“圣诞”漏洞威胁程度极高,已经被黑客利用制作了上千个挂马网页,主要为在线小游戏、小说网站、音乐网站以及不良网站;windows图形渲染引擎漏洞的威胁程度则要小得多,只有开启了“预览模式”的windows用户才有可能受到该漏洞攻击,因此并不会大规模影响普通网民。
国际知名的网络漏洞管理公司rapid7也对于微软没有修复ie“圣诞”漏洞表示惊讶。该公司研究人员认为:“微软仅仅发布了两款补丁,这是很令人吃惊的,因为它们并没有修复恶意攻击者开始利用的漏洞(ie‘圣诞’漏洞)。在未来一段时间中,我们将会看到未修复漏洞被全面攻击的现象。”
据悉,ie“圣诞”漏洞最早是在去年圣诞节前曝光,影响ie6、ie7、ie8等主流浏览器版本,涉及90%以上的中国网民。目前,360安全卫士已针对ie“圣诞”漏洞推出了临时补丁,在微软官方补丁修复漏洞前可以有效免疫漏洞危害。
