Microsoft 在昨日宣佈將會為 IE8 上發現了已有七個月之久的零時差漏洞 (Zero day) 推出修復檔,但時間表仍然欠奉。
被 HP 內部一個安全研究小組所發現的漏洞為 “use-after-free”,他們其後向外公佈了一些細節好讓 Microsoft 可以着手修復。小組人員為防止在發佈漏洞後被黑客大舉利用,因而在公佈時隱瞞了部分的細節。但他們指若 Microsoft 不盡快着手修復此漏洞,黑客日後仍會使用此漏洞,Microsoft 則指暫未有發現有黑客透過此漏洞發動攻擊。
無解釋拖延半年原因
黑客需要誘餌用戶去瀏覽其惡意網站,當用戶上當後,黑客就會在主機上擁有與使用者同等的權利,並運行任何程式。Microsoft 在新聞稿中並無提及此更新需要延遲至半年後才推出更新的原因,只是指研發人員需要更多的時間去「測試所有的軟件以確保用戶在更新後不會出現使用上的問題」。他們續指將會繼續為此漏洞研究,並於準備好後才會向用戶發出更新。
Source:COMPUTERWORLD
