微软表示,该公司已经得知这个讯息,并正在由全球紧急应变中心处理中。 赛门铁克表示,目前发现有至少六个网址,出现IE7相关攻击,另外,也已有黑客公开攻击指令码,在网络上讨论。McAfee则是于周二(12/9)在Avert Labs Blog中表示,针对IE7的威胁正在中国大陆迅速传染,IE7使用者若是浏览到被植入恶意程序的网页,就会自动下载。
微软虽然刚刚释放出每月的定期安全更新,不过尚未针对这个漏洞发出修补程序。台湾微软表示,该公司已经得知这个讯息,并正在由全球紧急应变中心处理中,但在总部还没释出完整解决方案前,台湾微软无法进行说明,不过全球将会在一、两天内做出说明。
而据了解,虽然以往微软在每月定期更新之外不会发布个别修补程序,但在紧急状况下也有例外,例如10月时就曾发布重大紧急更新MS08-067。若是发现可能迅速引起灾害的安全漏洞,就会是紧急状况制定SOP,也可能像上次一样临时释出修补程序。
在微软尚未修补漏洞之前,最好先不要使用IE7浏览器,另外,使用者应检查用户端之恶意程序扫描记录是否有异常现象。
McAfee则表示,该公司的Host IPS在不更新特征码的情况下,即可阻挡该零时差攻击,透过行为式入侵侦测技术,可以防护约五、六成的弱点。
微软也看到安全威胁转向网络端的趋势,在明年初级将发表正式版的IE8中,就相当强调针对新型态攻击加强防护,例如ActiveX以及跨站脚本攻击(XSS, Cross-Site Scripting)。IE8新增的跨站指令码筛选工具可侦测到这类攻击,并对受感染的指令码进行解读、阻止执行。