Microsoft通过紧急更新修复了零日漏洞

Microsoft推出了Internet Explorer更新，以消除零日漏洞，该漏洞最近已在多种针对性攻击中使用。

微软在今天的安全公告中说，微软的带外更新解决了Internet Explorer版本6、7和8中的严重缺陷。 该公司先前已发布了Fix-It作为暂时解决此问题的解决方法。 微软说，已经安装了Fix-It的用户不需要先安装它，然后再应用补丁。

微软在通报中说：“大多数客户都启用了自动更新，并且无需采取任何措施，因为保护将自动下载和安装。” 强烈建议手动更新IE的用户尽快应用更新。

Qualys的首席技术官Wolfgang Kandek说，必须注意，微软发布了补丁程序，而不是累积更新。 用户必须首先确保他们的Internet Explorer版本是最新版本（并已安装MS12-077），然后才能应用补丁（MS13-008），Kandek说。

带外补丁

该补丁程序是在Microsoft计划的每月补丁程序星期二发布之后一周。 许多安全专家想知道这是否意味着该公司计划等到二月份来修复该错误。

nCircle安全运营总监安德鲁·斯托姆斯（Andrew Storms）表示：“除了今天的补丁程序，我在二月份看到另一个IE公告也不会感到惊讶。 Storms说，定期的浏览器补丁是一件好事，因为攻击者正越来越多地在攻击Web浏览器。

FireEye的研究人员在12月发现，外交关系委员会的网站已受到攻击，并利用此漏洞利用较旧版本的Internet Explorer感染了访问者。 一旦发现了零日漏洞，其他研究人员就发现了对其他站点的类似攻击，包括微型涡轮机系统制造商Capstone Turbine和两个中国人权站点。 微软发布了一个临时修复程序，但Exodus Intelligence的研究人员能够绕过Fix-It并触发安全漏洞。

该公司产品执行副总裁Mark Elliott表示，尽管该公司很快就发布了此补丁，但仍有很大的可能性表明许多用户没有采取必要的步骤，并且大部分IE用户将不受保护。 Quarri Technologies告诉 SecurityWatch 。 Elliott说，这突显了企业通常如何“受熟练的最终用户成为安全管理员的支配”。

还鼓励用户升级到Internet Explorer 9或10。该问题主要影响仍在运行Windows XP（无法运行较新版本的IE）的用户。

BeyondTrust的首席技术官Marc Maiffret表示：“由于这些补丁解决了在野外被利用的漏洞，因此尽快部署补丁至关重要。”

有关Fahmida的更多信息，请在Twitter @zdFYRashid上关注她。