安全研究人员Eduardo Vela Nava和David Lindsay在上周巴塞罗那举行的黑帽会议(Black Hat Europe)会议上演示了通过IE8的漏洞对有免疫能力的网站实施攻击。并呼吁微软能够尽快修复这项安全漏洞。要是IE浏览器这个安全漏洞万一被人利用,可能会导致网站被植入木马。而该IE漏洞正是微软更新两次安全补丁,依旧尚未xx解决的IE8过滤器漏洞
微软已经在昨天表示,将在6月更新IE8的XSS(Cross-site scripting:XSS)过滤器,发布一个跨站脚本过滤器更新软件,从而解决该安全问题。发言人称:“六月发布安全更新是惯例。”
跨站脚本过滤器是微软去年发布的IE8测试版中的一项反恶意软件功能。这个演示促使微软决定更新IE8。
同时,这将是微软第三次尝试解决IE8 XSS过滤器的安全问题。
软安全响应中心的一位工程师David Ross在微软安全中心(MSRC)博客表示:“Blackhat EU简报所说的XSS过滤器安全漏洞,在很早之前的一项IE安全更新(MS10-22)就已经发现,并设法解决了。”
后来微软在3月份再次发布的重大更新()也再次尝试解决该问题。
虽然在1月和3月发布的应急补丁MS10-002和MS10-018中已经处理了Vela Nava和Lindsay提出的一些攻击情况,但还是没能阻止攻击者的其他攻击途径。这次将解决黑帽欧盟会议上演示的一种脚本标签攻击情况。
与安全补丁不同,IE8的跨站脚本过滤器一般是动态更新的并且是在后台更新的。但是,微软发言人本周二说,微软计划在6月份发布这个补丁而不是立即发布这个补丁是为了给企业一些时间进行测试。
尽管IE浏览器之前频繁爆出安全漏洞问题,不过根据数据显示:在2009年IE只有45个安全漏洞,而Firefox则是去年漏洞最多的共计169个。
感觉这个漏洞没什么吧,反正我的IE一直没有打什么补丁,到现在也没有看到有什么问题,要是担心有安全问题,最直接方法就是把ie卸了,用别的浏览器,这样就不用担心了,也不用安装补丁了!
看来IE浏览器要不行了啊,一个漏洞补两次都没有解决好。虽然我还装了IE浏览器,但是已经很久没有用过了,非常喜欢用遨游!