北京時間9月19日早間消息,德國政府周二建議公眾暫停使用微軟IE浏覽器,原因是該產品的一個尚未修復的漏洞可能引發黑客攻擊。
在此之前,一名研究人員發現的證據顯示,黑客正在利用這個漏洞攻擊國防項目承包商。微軟也於周一承認,這一漏洞的確可能被黑客利用,從而在用戶訪問惡意網站後控制其電腦。
德國聯邦信息安全局(以下簡稱“BSI”)表示,該機構已經發現了相關攻擊,黑客只要將用戶引誘到安裝惡意軟件的網站,即可利用漏洞。該機構在聲明中說:“這一代碼的快速傳播必須引起警惕。”
BSI建議所有IE用戶使用其他浏覽器,直到微軟發布安全補丁。微軟方面並未對此發表評論,但該公司此前曾經在書面聲明中表示,該漏洞的影響范圍不大。
“攻擊的數量極其有限,”微軟發言人Yunsun Wee說,“絕大多數IE用戶都沒有受到影響。”但該公司表示,計劃在幾天內發布一款軟件保護PC用戶免受攻擊。不過,用戶必須點擊一個鏈接,然後訪問微軟網站,手動安裝一組代碼。
雖然微軟並未透露何時能夠全面升級IE,但多名安全專家表示,數周內有望實現。
該IE漏洞是上周五由一名盧森堡安全專家發現的,他是在研究一個電腦服務器時被惡意軟件感染的。黑客曾於去年利用該電腦服務器展開過工業間諜行為,涉及至少48家化工和國防企業。
根據賽門鐵克2011年10月發布的報告,這種攻擊名為Nitro,受害企業包括多家開發化合物和高級材料的財富100強公司。
網絡安全公司Alien Vault周二表示,已經發現另外3台服務器,其中托管的惡意網站也可以利用最新發現的IE漏洞。
AlienVault Labs經理傑米。布拉斯科(Jaime Blasco)表示,他發現的證據顯示,這些攻擊都瞄准了國防項目承包商。例如,他在一個專門提供印度國防資訊的網站上發現了相關病毒。“他們似乎在瞄准大目標。”他說。
IE是全球使用第二廣泛的浏覽器,根據互聯網流量監測機構StatCounter的數據,IE市場份額為33%,落後於谷歌Chrome的34%.
在微軟發布最新的安全補丁前,微軟建議用戶安裝一款名為EMET的工具來降低風險。該工具可以到微軟官方網站下載。但在下載、安裝EMET後,用戶還必須進行手動配置,以便保護電腦免受威脅。微軟還建議用戶調整多項Windows安全設置,以便抵御潛在攻擊者,但此舉有可能影響PC的使用。
一些安全專家表示,對多數PC用戶而言,按照微軟的建議采取措施太過繁瑣。相反,他們建議Windows用戶暫時用谷歌Chrome、Mozilla火狐或Opera等浏覽器代替IE.