最近,微软正在考虑给早期版本的InternetExplorer打补丁的内容备受关注,很多读者也对此非常感兴趣。现在,我想列出微软正在考虑为InternetExplorer打补丁的早期版本的最新消息。
微软表示,在本周的Pwn2Own黑客大赛中,研究人员Stephen Fewer利用的Internet Explorer 8中的漏洞已在Internet Explorer中得到修复。
在CanSecWest Pwn2Own挑战赛期间,很少有人将三个不同的漏洞联系起来,在完全打了补丁的Windows 7电脑上入侵IE8。该攻击还包括一种逃离保护模式沙箱的方法。3月11日,微软表示,检查了Internet Explorer 9的候选发布版本和RTM版本,确认极少发现的远程代码执行问题在最新版本中不存在。
微软表示:“由于这个漏洞不会影响IE9,微软鼓励客户利用浏览器提供的安全改进。”Internet Explorer 9计划于3月14日发布最终版本。微软还确认了Pwn2Own使用的另外两个漏洞,但没有透露它们是否也在IE9中打了补丁。
微软正在考虑修补早期版本的Internet Explorer,但尚未透露何时发布这些补丁。绝大多数用户要么不得不升级到IE9浏览器,要么继续使用未打补丁的浏览器,希望微软能打补丁,或者希望其他有恶意的人不要在这个漏洞中迷失。
如果微软坚持其现有的偶数月度补丁浏览器计划,那么第一个补丁机会将是4月份的补丁星期二更新。
根据竞赛规则,Pwn2Own所使用的漏洞和漏洞在法律上归竞赛赞助商TippingPoint ZDI公司所有。禁止科研人员以任何方式发布信息或公开披露信息。TippingPoint直接向供应商提供所有信息,并给他们六个月的时间来解决问题。
该公司表示:“我们赞赏ZDI直接向易受攻击的软件公司披露漏洞的做法,以及不断提高微软产品安全性的机会。”
在Pwn2Own的第一天,一群来自法国渗透测试公司VUPEN的安全研究人员成功利用Safari中的WebKit漏洞,破坏了运行在MacBook上的完全打补丁的Mac OSX 64位版本。同一天,入侵Internet Explorer的黑客减少了。一名报名参加谷歌Chrome浏览器的研究人员没有出现,另一个团队决定跳过比赛,专注于第二天的黑莓挑战赛。
该团队在Pwn2Own的第二天继续成功利用了黑莓Torch 9800上的多个WebKit漏洞。连续三年获奖的研究人员查理米勒通过利用苹果iPhone手机MobileSafari浏览器的另一个漏洞再次获奖。讽刺的是,目标iPhone运行的是iOS 4.2.1,而不是苹果3月9日发布的最新iOS 4.3。然而,TippingPoint确定两个版本中存在相同的错误,尽管无法进行准确的利用,因为苹果在平台上引入了新的安全层。
TippingPoint发言人Jacinda Ann Mein表示,计划在3月10日使用Firefox的研究员Sam Thomas在最后一刻退出,原因是他的利用率不稳定。
比赛的“幸存者”——谷歌Chrome、安卓、Windows 7和Mozilla Firefox——并没有受到影响,因为在为期三天的比赛中,没有安全研究人员进行尝试。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!