微軟安全公告：所有版本的 IE瀏覽器都有零時差漏洞＠Akila Chung

2010-12-30 23:35:50| 人氣824| 回應0 | 上一篇 | 下一篇

微軟安全公告：所有版本的 IE瀏覽器都有零時差漏洞

推薦 1 收藏 0 轉貼0 訂閱站台

　　微軟上周三（12/22）發表一安全公告，指出IE瀏覽器含有一嚴重的漏洞，可導致遠端程式攻擊。此項編號為2488013的安全漏洞，為資安業者VUPEN Security在99年12月上旬所揭露，根據該資安業者的說明，當IE瀏覽器處理網頁上含有各種@import規則的CSS(Cascading Style Sheets)檔案時，mshtml.dll程式庫會出現使用釋放後記憶體（use-after-free）錯誤的問題，駭客可打造特製的網頁觸發該漏洞而執行任意程式。此問題影響了Windows XP、Windows Vista及Windows 7上的IE 6、IE 7與IE 8等瀏覽器版本(其實就是所有的版本)。而微軟則在針對該漏洞的攻擊程式公開後決定發表安全公告，提出建議方法以降低遭受攻擊的可能。

　　因微軟目前尚無針對該漏洞的修補程式，但提供了暫時的解決方法(workaround)。請同仁依據以下步驟儘速安裝EMET(Enhanced Mitigation Experience Toolkit)並設定，以避免電腦遭受攻擊(有關EMET相關訊息請參考微軟網站，安裝EMET須有管理者權限，另WinXP須先行安裝.Net Framework 2.0)。

開啟IE瀏覽器至「http://go.microsoft.com/fwlink/?LinkID=200220&clcid=0x409 」下載程式後並完成安裝。

執行電腦中之「開始／程式集／Enhanced Mitigation Experience Toolkit／EMET 2.0」。

設定EMET，如下圖

(1)	按「Configure Apps」進行設定。
(2)	按「Add」加入要保護的程式。
(3)	選擇「C:\Program Files\Internet Explorer\iexplore.exe」按「開啟」。
(4)	按「OK」後重新開機即完成設定。