微软敦促InternetExplorer升级谷歌发现的漏洞

在谷歌研究人员发现浏览器中存在可能允许从远处接管他们的计算机的严重问题之后，微软已敦促 Windows 用户更新 Internet Explorer。微软表示12 月的安全更新版本适用于所有 Windows 版本，而不仅仅是 Windows 10，包括 Windows 8 和 Windows Server，以及返回到 Internet Explorer 8 的浏览器版本。

该漏洞被描述为 Internet Explorer 的脚本引擎如何处理内存中的对象的远程代码执行漏洞。“该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式破坏内存，”微软解释说。“成功利用该漏洞的攻击者可以获得与当前用户相同的用户权限。”

如果您在漏洞利用时以具有管理权限的用户身份登录 Windows，则会带来最大的风险。然后，黑客可以获得完全控制 PC 的权限，包括创建新用户帐户、复制和删除数据或安装新软件。但是，该漏洞不需要 PC 用户安装受感染的软件。

相反，简单地引诱该人访问旨在利用安全漏洞的网站就足够了。“在基于 Web 的攻击场景中，”微软概述道，“攻击者可以托管一个特制的网站，该网站旨在通过 Internet Explorer 利用该漏洞，然后说服用户查看该网站，例如，通过发送电子邮件。 ”

Microsoft 对这个问题的修复是更改 Internet Explorer 脚本引擎处理内存中对象的方式。如果您已将 Windows 更新打开以自动更新，并且拥有已发布的最新版本的安全更新，则应该没问题。

但是，如果您不这样做，Microsoft 建议所有用户安装最新的补丁。

安全漏洞的发现实际上是由谷歌发现的，谷歌将问题通知了微软。微软特别感谢谷歌威胁分析小组的克莱门特莱西涅。在确认 Microsoft Edge 浏览器将转向桌面版Chromium 引擎之后。微软公司副总裁 Joe Belfiore 表示，这应该“为我们的客户创造更好的网络兼容性，并为所有网络开发人员减少网络碎片化”。