http://www.ithome.com.tw/itadm/article.php?c=78349 文/陳曉莉 (編譯) 2013-01-15 MS13-008主要修補IE中的遠端攻擊程式漏洞，相關漏洞影響IE 6、IE 7與IE 8，並不影響 較新的IE 9及IE 10。先前曾透過Fix it執行臨時修補的用戶則可於安裝此一更新後將其 移除。 微軟於周一（1/14）釋出MS13-008以修補IE的零時差漏洞。 微軟在去年底就已揭露該漏洞，但當時僅提供臨時的Fix it修補工具，而且也來不及在上 周二（1/8）的例行性更新日修補，一直到本周才有完整的修補程式出爐。 MS13-008主要修補IE中的遠端攻擊程式漏洞，當使用者以IE造訪一個特製的網頁時，成功 攻擊該漏洞的駭客便有機會取得使用者權限，該安全更新則修改了IE處理記憶體物件的方 式。相關漏洞影響IE 6、IE 7與IE 8，並不影響較新的IE 9及IE 10。 微軟可信賴運算總經理Dustin Childs表示，微軟已看到針對該漏洞的有限攻擊，但可能 有更多的客戶受到影響，多數用戶不需採取任何行動便能自動下載及安裝更新，並鼓勵其 他用戶儘快進行手動更新，另外建議用戶升級到未受該漏洞波及的IE 9或IE 10。 至於那些曾透過Fix it執行臨時修補的用戶則可於安裝此一更新後將其移除。 根據資安業者的調查，此次針對IE漏洞的攻擊行動是採用Watering hole攻擊手法，駭客 先針對目標族群常上的網站嵌入惡意程式，等這些目標族群以有漏洞的瀏覽器造訪該站時 進行攻擊，駭客可能來自中國，所設定的目標族群為國防產業。（編譯/陳曉莉） -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.168.207.99