IE 6/7/8曝0day漏洞

        軟件安全公司 FireEye 今日在其博客中表示，在對 12 月 21 日美國外交關系委員會（CFR）網站遭受黑客攻擊的事件調查中發現了一個新的微軟 Internet Explorer 瀏覽器 0day 漏洞。

        不過值得慶幸的是，該漏洞只會影響到 IE 6/7/8 瀏覽器，因此 IE 9/10 用戶無需擔心。不過這對于那些仍在使用 Windows XP 操作系統的用戶來說無疑是一個最壞的消息，因為微軟并未發布適用于該操作系統的 IE 9/10 瀏覽器。

        根據 FireEye 的介紹，黑客主要利用此次所發現的這個 0day 漏洞通過 JavaScripet 惡意代碼加載名為“today.swf”的 Adobe Flash 文件來對 IE 瀏覽器實施 Heap Spray 攻擊，并自動下載名為“xsainfo.jpg”的文件。

        雖然目前微軟方面還未公布有關該漏洞的安全修復補丁，但 FireEye 建議用戶可以通過使用微軟增強減災體驗工具（EMET）以及禁用瀏覽器的 Flash ActiveX 和 Java 控件的運行來暫時降低遭遇攻擊的風險。

        而比較徹底的解決辦法則是安裝更新版本的 Windows 操作系統和 IE 瀏覽器軟件，或者干脆改用諸如 Chrome 等其他瀏覽器產品。