早些時候我們提到微軟就IE瀏覽器腳本引擎存在的零日漏洞發(fā)布公告 ,  該漏洞被發(fā)現(xiàn)前已經(jīng)在野外遭到黑客利用。攻擊者利用釣魚網(wǎng)站或郵件誘導用戶訪問特制的釣魚網(wǎng)站即可觸發(fā)漏洞，然后可獲得與用戶相同級別的管理權(quán)限。若用戶本身是管理員權(quán)限則攻擊者也可以獲得管理員權(quán)限，進而安裝其他惡意軟件甚至直接控制用戶的整個電腦。

微軟將制作安全更新進行修復：

按微軟說明該公司正在制作安全更新對該漏洞進行修復，其中主要受支持的包括InternetExplorer 9、10、11版。若用戶仍然使用已經(jīng)結(jié)束支持的版本則無法獲得安全更新，但用戶可以通過本文提到的辦法對漏洞攻擊進行緩解。值得注意的是IE 9-11版分別對應的是Windows 7、Windows 8.1和Windows 10，但Windows 7剛剛結(jié)束支持。因此即便微軟發(fā)布針對IE9版的安全更新Windows 7 普通用戶可能也無法獲得更新 ,  但ESU付費擴展用戶可獲得。當然還有個可以避免該漏洞的辦法就是不要使用IE瀏覽器，也不要點擊任何陌生郵件中的超鏈接也可以確保安全。

本次修復將不會發(fā)布帶外更新：

按理說如此級別的安全漏洞微軟應該會快速發(fā)布更新，不過此次發(fā)現(xiàn)的零日漏洞微軟已經(jīng)確認不會發(fā)布帶外更新。所謂帶外更新即指的是附帶的修補程序，通常此類修補程序會通過微軟每月例行發(fā)布的累積更新修復特定的漏洞。有時候帶外更新會在例行更新日前提前發(fā)布，而這次零日漏洞微軟不會發(fā)布帶外更新需要等到下個月例行更新日。因此微軟的這次做法看起來倒是有些奇怪，因為這種已經(jīng)在野外被利用的漏洞危害性更高按理說需要及時被修復。

不過既然微軟已經(jīng)說了需要等到下個月的例行更新日，那企業(yè)管理員最好現(xiàn)在還是提前部署好漏洞的緩解措施吧。