在此之前,一名研究人员发现的证据显示,黑客正在利用这个漏洞攻击国防项目承包商。微软也于周一承认,这一漏洞的确可能被黑客利用,从而在用户访问恶意网站后控制其电脑。
德国联邦信息安全局(以下简称“BSI”)表示,该机构已经发现了相关攻击,黑客只要将用户引诱到安装恶意软件的网站,即可利用漏洞。该机构在声明中说:“这一代码的快速传播必须引起警惕。”
BSI建议所有IE用户使用其他浏览器,直到微软发布安全补丁。微软方面并未对此发表评论,但该公司此前曾经在书面声明中表示,该漏洞的影响范围不大。
“攻击的数量极其有限,”微软发言人Yunsun Wee说,“绝大多数IE用户都没有受到影响。”但该公司表示,计划在几天内发布一款软件保护PC用户免受攻击。不过,用户必须点击一个链接,然后访问微软网站,手动安装一组代码。
虽然微软并未透露何时能够全面升级IE,但多名安全专家表示,数周内有望实现。
该IE漏洞是上周五由一名卢森堡安全专家发现的,他是在研究一个电脑服务器时被恶意软件感染的。黑客曾于去年利用该电脑服务器展开过工业间谍行为,涉及至少48家化工和国防企业。
根据赛门铁克2011年10月发布的报告,这种攻击名为Nitro,受害企业包括多家开发化合物和高级材料的财富100强公司。
网络安全公司Alien Vault周二表示,已经发现另外3台服务器,其中托管的恶意网站也可以利用最新发现的IE漏洞。
AlienVault Labs经理杰米·布拉斯科(Jaime Blasco)表示,他发现的证据显示,这些攻击都瞄准了国防项目承包商。例如,他在一个专门提供印度国防资讯的网站上发现了相关病毒。“他们似乎在瞄准大目标。”他说。
IE是全球使用第二广泛的浏览器,根据互联网流量监测机构StatCounter的数据,IE市场份额为33%,落后于谷歌Chrome的34%。
在微软发布最新的安全补丁前,微软建议用户安装一款名为EMET的工具来降低风险。该工具可以到微软官方网站下载。但在下载、安装EMET后,用户还必须进行手动配置,以便保护电脑免受威胁。微软还建议用户调整多项Windows安全设置,以便抵御潜在攻击者,但此举有可能影响PC的使用。
一些安全专家表示,对多数PC用户而言,按照微软的建议采取措施太过繁琐。相反,他们建议Windows用户暂时用谷歌Chrome、Mozilla火狐或Opera等浏览器代替IE。