微軟修補了可能會被駭客用來劫持 PC 的 IE 漏洞

稍早微軟表示，長久以來被駭客用於鎖定目標攻擊的 IE 零時差漏洞已經修補完成了。在說明中，微軟並沒有詳述相關攻擊的範圍，但對於犯罪份子是如何利用這個記憶體相關的漏洞進行攻擊，倒是提出了一番解釋。由於這個漏洞，攻擊者只需要引導使用者造訪他們的網站，就能對他們發出帶有問題連結的 email，藉此進一步狹持他們的電腦。一旦成功掌控受害者的電腦系統，他們就可以對其安裝程式、更改數據，甚至創建一個擁有所有系統權限的新帳號。

在這份安全性更新報告中，微軟表示該漏洞是由 Google 發現並通知他們的。而據網路風險控管公司 Tenable 職員 Satnam Narang 的說法，包括適用於 Windows 7 到 Windows 10 的 IE11，以及特定版本 Windows Server 上的 IE9 和 IE10 都是該漏洞所波及的對象。對此，Narang 建議用戶們趕緊對系統進行更新，以降低相關風險，因為藉此進行的攻擊已十分廣泛。

微軟解釋，這次的更新是藉由「修改腳本引擎將內容儲存於記憶體中的方式」來解決問題。為了免於相關攻擊的危害，他們也建議用戶們儘早安裝更新。

來源: Project Zero, Microsoft

經由: Engadget, Krebs on Security