前不久因為google攻擊事件使的IE漏洞變成全球注目,連法國和德國官方都相繼公開建議停止使用IE,所以M$已經在22日急忙的公開了它的修正檔
MS10-002 - Internet Explorer的累積安全更新:緊急
IEの臨時パッチ公開、できるだけ早く適用を
對應的系統從windows 2000的IE5到windows7的IE8
特別注意的是,不要以為自己不用IE就沒事,因為這次的漏洞存在於IE的核心引擎mshtml.dll裡面,所以任何利用IE引擎的程式（e-mail或媒體播放等等)全部都會被波及

另外,先前被發現的權限升級漏洞也已經確認,這個安全性漏洞存在所有的32bit系統,M$也針對它發佈安全性建議
安全性建議979682 - Windows核心漏洞造成權限升格
因為漏洞是存在16bit的DOS虛擬機器(NTVDM)內,所以依照上一篇提的方法停用16bit程式就能暫時解決,不過因為XP home版沒有gpedit.msc,所以要修改登錄檔達到相同效果
方法是使用reg指令

繼13日google發表關於被中國大肆攻擊的聲明之後,防毒程式公司McAfee對於這個事件發表了一篇調查報告,表示這次的google攻擊事件是因為IE的安全性漏洞所造成
Googleへのサイバー攻撃はIEの脆弱性を悪用――McAfeeが調査
More Details on “Operation Aurora”
微軟安全漏洞 駭到Google?
McAfee表示,這次的google攻擊事件是有計劃且精密的行動,被稱為"Operation Aurora",方法是針對目標公司的特定個人,讓對方以為是可以信任的對象而引誘去點連結或檔案,之後再由IE的安全漏洞侵入系統並竊取資料
先前F-secure懷疑這次的標地型攻擊利用的是pdf reader的漏洞,但是根據McAfee的調查似乎不是這樣

Microsoft隨後承認IE有未修補的漏洞存在,並且發佈了最新的安全建議
Microsoft Security Advisory (979352) - Vulnerability in Internet Explorer Could Allow Remote Code Execution
這個安全性漏洞發生在IE內部存在一個無效的參考指標,在某些狀況下,物件被刪除之後使這個無效的指標被存取,造成IE會從遠端執行程式碼
影響的範圍是Windows 2000/XP/Vista/7/server2003/2008的IE6/7/8版,也就是除了IE5.01以外所有系統的所有版本IE都有這樣的安全性漏洞
MicrosoftがIEの脆弱性を報告　IE 6狙った攻撃も
目前暫時沒有這個漏洞的修正檔,M$建議有以下措施減低因為IE這個漏洞而導致系統遭駭的方法
1.修改IE的安全性設定,把網際網路的安全等級設定成"高"
2.開啟IE的保護模式(只適用於Windows Vista/7)
3.開啟IE的資料執行防止(DEP)
關於開啟IE的DEP這方面,M$也發佈了一個"Application Compatibility Database"檔案,可以自動開啟所有版本IE的DEP,對於IE的使用者可以暫時自保
KB979352:Vulnerability in Internet Explorer could allow remote code execution
M$表示調查完畢之後會儘速公佈這個漏洞的修正檔案

電腦安全公司VUPEN在21日發現M$的IE6/IE7出現零時差漏洞
這個漏洞是IE參照一個無效的指標,可能在存取網頁裡被刪除的CSS物件時發生,造成IE執行程式碼的危險,這個漏洞在VUPEN網站歸類為"緊急"
IE 6と7に未修正の脆弱性、深刻な影響の恐れ
Zero-Day Internet Explorer Exploit Published
Internet Explorer Vulnerability Exploit Detected
被這個安全性漏洞影響的範圍是Windows XP/VistaSever2003/2008上的IE6/IE7,而IE8和Windows2000的IE5不會被影響

而M$也在23日針對這個漏洞發布了安全性建議
IE7/6にゼロデイ脆弱性、MSがセキュリティアドバイザリを公開
Microsoft Security Advisory (977981)
目前還沒有針對這個安全性漏洞的修正檔,不過該網站上有提供幾個建議來避免遭到這個漏洞的危害:

[Read All]

根據NetApplications的統計7月份瀏覽器的使用比例,IE的佔有率持續下降,但是IE6卻仍高居27%,是所有瀏覽器版本佔有率第一
地域事情加味でIE6シェアNO.1に - ただし減少傾向は継続

可見敝社的瀏覽器佔有率狀況並不是個案

在youtube,gmail,digg,facebook等一些SNS都宣佈不再支援IE6之後,也越來越多人(團體)開始跳出來呼籲,不要再使用IE6
「IE6はもういらない」――Web企業が撲滅キャンペーン
IE6 Must Die
IE6 No More
IE6 No More已經受到大大小小的網站企業支持,IE6 Must Die也有超過9000個支持者...
建議不再使用IE6的最大原因是,這個程式從2001年發表到現在超過7年,已經是個過時的程式,無法支援網路上最新的網頁標準,對於網站的管理者造成很大的負擔,也限制網站技術發展,更別提多年來累積千瘡百孔的安全漏洞
其實個人很納悶,除了目前還在使用windows 2000以外,有什麼理由一直死守IE6(注意windows 2000的更新支援到2010年6月結束)
當然,這邊的EeePC仍使用IE6是因為不想再對只有4GB的SSD造成負擔,而且日常並沒有在用IE)

傳說很多人不願意升級IE是因為使用盜版XP無法更新系統,不過實際上...
升級IE並不會檢查盜版
這邊雖然很討厭IE,不過各位還在使用IE6(或以下版本)的大爺們,就算不想換成Firefox,Chrome,Opera,也好歹換成IE7,全天下受到IE6折磨的網站設計者會感激不盡orz
M$的IE7下載點: http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=9ae91ebe-3385-447c-8a30-081805b2f90b
IE8下載點:http://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b

最近把桌機本來的IE7更新到IE8
其實沒甚麼特別的理由,只是聽說IE8在網頁layout處理上跟過去有差異
因為IE8已經在幾個月前被M$放入每月自動更新裡面,所以改用IE8的人應該會越來越多(不管是不是自願的w)

為了測試自己家的網頁顯示沒問題,所以還是去更新了
目前是,桌機:IE8, NB:IE7, EeePC:IE6...這樣的狀態


要說使用的差異嗎?實在沒甚麼特別的感覺,因為平常根本不會開IE來用w
那東西只有測試網頁顯示和每月更新的時候才用的到ww

要說為什麼不乾脆全部換最新版算了...

[Read All]

M$會在每個月中公開Windows的各種更新檔,不過有時會對特別嚴重的安全性漏洞提前發布更新程式
所以今天,M$針對IE和Visual Studio公開更新程式
Microsoft、定例外更新で『IE』などの脆弱性を修正へ
Microsoft安全性公告 MS09-034 - 緊急
Microsoft安全性公告 MS09-035 - 警告
這次是微軟開發工具使用的Active Template Library（ATL）元件,有3個物件初始化的安全性漏洞,造成遠端執行程式碼,影響範圍是Visual Studio .NET 2003-2008 SP1
同時公開的IE修補程式跟ATL似乎沒有關聯,是IE處理物件造成記憶體破損的安全性漏洞,造成攻擊者取得使用者相同權限,影響範圍是Windows 2000的IE5到Windows Vista/Server 2008的IE8,幾乎是所有版本的IE
因為M$十萬火急公開修正檔,想必是很嚴重的安全漏洞,在還沒出現利用這個漏洞的病毒之前還是儘快更新吧