微软今日如约发布了IE安全更新补丁,这是一个非常规性安全补丁(MS13-008),微软将之定级为最高的“严重”级别。它是为了彻底解决近期的一个IE远程代码执行漏洞(CVE-2012-4792)。该漏洞在2012年12月曝光,微软随后发布了一个Fix it临时解决方案,经过一段时间的调查和开发,微软今天终于提供了彻底的解决方案。
此漏洞为IE访问内存中已被删除或尚未正确分配的对象的方式中所存在的一个远程执行代码漏洞。该漏洞可能以一种允许攻击者在IE中的当前用户的上下文中执行任意代码的方式损坏内存,攻击者可能拥有一个旨在通过IE利用此漏洞的特制网站,然后诱使用户查看该网站。
这个漏洞影响IE6、IE7和IE8,IE9和IE10用户不受影响,微软证实,当前只有非常少的一部分用户被感染,不过如果不修复这个漏洞未来可能会有更多用户受影响。
微软建议旧版IE用户升级至最新版。如果你暂时不愿意升级至IE9或IE10,那么微软建议你尽快安装微软今天发布的补丁。如果你之前已经使用了安全公告2794220中的Fix it工具,在安装这个安全补丁前无需卸载Fix it工具。
微软会通过windows Update向IE6-8用户推送该补丁,没有开启自动更新的用户需要手动下载:http://technet.microsoft.com/en-us/security/bulletin/ms13-008