安全厂商警告：IE7 0-day攻击可能蔓延

微软表示，该公司已经得知这个讯息，并正在由全球紧急应变中心处理中。

赛门铁克表示，目前发现有至少六个网址，出现IE7相关攻击，另外，也已有黑客公开攻击指令码，在网络上讨论。McAfee则是于周二（12/9）在Avert Labs Blog中表示，针对IE7的威胁正在中国大陆迅速传染，IE7使用者若是浏览到被植入恶意程序的网页，就会自动下载。

微软虽然刚刚释放出每月的定期安全更新，不过尚未针对这个漏洞发出修补程序。台湾微软表示，该公司已经得知这个讯息，并正在由全球紧急应变中心处理中，但在总部还没释出完整解决方案前，台湾微软无法进行说明，不过全球将会在一、两天内做出说明。

而据了解，虽然以往微软在每月定期更新之外不会发布个别修补程序，但在紧急状况下也有例外，例如10月时就曾发布重大紧急更新MS08-067。若是发现可能迅速引起灾害的安全漏洞，就会是紧急状况制定SOP，也可能像上次一样临时释出修补程序。

在微软尚未修补漏洞之前，最好先不要使用IE7浏览器，另外，使用者应检查用户端之恶意程序扫描记录是否有异常现象。

McAfee则表示，该公司的Host IPS在不更新特征码的情况下，即可阻挡该零时差攻击，透过行为式入侵侦测技术，可以防护约五、六成的弱点。

微软也看到安全威胁转向网络端的趋势，在明年初级将发表正式版的IE8中，就相当强调针对新型态攻击加强防护，例如ActiveX以及跨站脚本攻击（XSS, Cross-Site Scripting）。IE8新增的跨站指令码筛选工具可侦测到这类攻击，并对受感染的指令码进行解读、阻止执行。