这个缺陷在一周之前被中国安全研究人员意外公布,已经被越来越多的Web使用过去几天发生的攻击。 Verisign iDefense集团的情报总监Rick Howard表示,犯罪分子已经发布了攻击代码,该攻击代码迄今为止已在成千上万个网站上利用了这一漏洞。威瑞信目前已经看到了六种攻击软件的变种,所有这些变种都试图窃取中国的在线游戏凭证。
攻击通常是通过隐藏在网站上的隐藏的iFrame组件发动的。霍华德说,Verisign甚至在一家合法金融机构的网站上发现了一起这样的iFrame攻击。微软表示,“缺陷在于Internet Explorer的数据绑定功能的工作方式。”当浏览器受到攻击时,它会崩溃,破坏计算机的内存并允许犯罪分子运行未经授权的软件。由于大约70%的网民使用Internet Explorer,因此这种攻击代码可能会出现在广泛使用的恶意软件中“很快,”霍华德说。“其他安全公司同意Verisign的评估。 “微软最新的IE带外修补程序版本需要立即安装,”Shavlik Technologies在一份声明中表示。 “受感染网站的数量正在以惊人的速度增长 - 即使访问合法网站的人也因此受到攻击而被黑客攻击。”
这个缺陷实际上非常严重,以至于微软采取了不寻常的步骤提前几周安全修复。通常,Microsoft每个月只发布一次安全补丁,以简化系统管理员的生活。它的下一次更新是1月13日。
犯罪分子还可以通过电子邮件发送攻击,通过向受害者发送恶意编码的HTML文档,尽管此类攻击尚未报告。 IE版本5及以上的用户Apple Update最终修复了重要的DNS Bug
Apple修补了Mac OS X使用的DNS软件中的缺陷。
Microsoft Bug,Greenspan Speaks,Yahoo Cuts
]
第2周为IE Bug,Apple Bails在Macworld上
微软本周发布了针对Internet Explorer漏洞的紧急补丁,这是中国安全研究人员不小心......在上周中国安全研究人员意外发布了攻击代码后,微软本周发布了针对Internet Explorer漏洞的紧急补丁,但这并未阻止这种破坏。更让人惊愕的是苹果公司的言论,它在几周后在2009年的活动结束后将退出Macworld Conference&Expo,首席执行官史蒂夫乔布斯将不会发表主题演讲。微软修复IE漏洞,黑客利用IE漏洞利用'阴险'Word文档:敦促Internet Explorer用户立即安装微软发布的紧急补丁,以修复上周中国安全研究人员无意公布的浏览器漏洞。攻击代码发布后,黑客立即开始使用这个漏洞,并且预计它将被广泛用于在网站上植入恶意软件。黑客也很快开始利用这个漏洞,在Word文档中存储恶意的ActiveX控件。 McAfee的Avert Labs安全研究和通信总监David Marcus总结道:“这是一种非常阴险的攻击方式,因为它无法被人看到,也无法与站点通信。”