简析是否弃用微软IE浏览器:
据国外媒体报道,前段时间,IE“零日”漏洞对谷歌、Adobe等公司造成了大面积的网络攻击。近日,微软针对这个IE漏洞发布了紧急安全更新,网络攻击终于告一段落。
近段时间,很多的分析家都认为,从本质上来讲,IE浏览器是很不安全的。但是笔者认为,这种说法有些过激了。的确,那些占据市场份额较小的浏览器所受到的攻击要比IE要小得多,但是更换浏览器并不是解决安全性的最佳方案。
下面,笔者将就是否需要更换IE浏览器这件事情做出以下的分析:
#1、怎么样去避免IE漏洞恶意攻击?
无论您使用的是何种版本的IE或Windows,您都可以通过Windows更新或Windows软件更新服务下载MS10-002安全补丁去修复IE漏洞。
与此同时,您还应该启用数据执行保护功能,这样一来便可阻止攻击者在内存的数据页执行恶意代码。默认情况下,IE8是自动启用DEP功能的,而如果想要启用Windows XP/Vista中的IE6或IE7,那么只需安装MS10-002公告页中的“Fix It”工具即可。
#2、究竟发生了什么?
在大面积的网络攻击来临之后,各种各样的安全分析报告漫天飞,不过很多报告都是不准确的,但都没有得到及时的纠正,其中有一个报告将此次的网络攻击归咎于Adobe PDF漏洞,源头实则是IE漏洞。
#3、微软推出补丁的时间是否太长?
1月初,谷歌和Adobe所受到的网络攻击就已经暴露出来,而直到三个星期之后,微软才发布补丁去修复攻击源头IE漏洞。
实际上,早在2009年8、9月份左右,微软就已经获悉了这个致命的IE漏洞,本打算将于2月9日的“补丁日”针对这个IE漏洞发布补丁,但是由于谷歌攻击被迫提前。
在此,我们不得不说,如果微软能够及早发布安全补丁(2009年11月份或12月份),那么此次的攻击是完全可以避免的。
#4、如果此次受袭击的受害者使用的是Firefox或Chrome浏览器,那么此次的攻击就不会发生吗?
并非如此。
据了解,此次的攻击是具有针对性的、复杂性的攻击,也就是说黑客是很准确地了解受害者的行踪的,这些受害者都是经过挑选的。如果这些受害者使用的不是IE6浏览器的话,这些黑客还可以通过其他途径对其进行攻击,例如恶意的PDF文件等。
回顾过往,Mozilla针对Firefox浏览器发布了多个安全更新,修复了大量的内存崩溃性漏洞。2009年,Mozilla共针对Firefox浏览器发布了34个关键性安全公告,遥遥领先于IE浏览器。
而虽然谷歌Chrome浏览器一直以安全性著称,但是它仍然是容易受到攻击的,谷歌Chrome 3.0、2.0中都曾爆出漏洞,可以被攻击者用来执行任意的HTML和脚本代码。
#5、如果此次的受害者使用的是Mac OS X操作系统,是否就可以避免被攻击呢?
同样是不可能的。
的确,很少有恶意攻击是针对Mac OS X用户的,主要是Mac OS X的使用人数较少。
最好的例子就是,在去年的黑客大赛中,名为米勒的黑客仅在几秒钟内就攻破了全面安装补丁的Mac电脑。这足以说明,相较于Windows操作系统,Mac OS X操作系统的安全性不过如此,只不
过是全球的Mac用户量较少,黑客很少对其发起攻击罢了。
#6、安全公告指明,IE7和IE8都是具有脆弱性的,那这是否就意味着所有的IE版本都是同样不安全的呢?
绝对不是的。
通俗来讲,安全漏洞就是指软件中具备一段拥有漏洞的代码,可以潜在地导致安全问题,但是如果想要利用这个漏洞发起攻击是非常困难的。此外,操作系统中的其他安全功能还会阻止攻击的产生。
在这种前提下,黑客可以很顺利地对运行IE6浏览器的Windows XP用户发起攻击,但是Windows Vista和Windows 7中所包含的两项安全功能使得黑客很难对其发起攻击,它们分别是地址空间布局随机化(ASLR)和数据执行保护(DEP)功能。默认情况下,IE8中自动启用DEP功能,而Windows Vista和Windows 7中都包含ASLR功能。
#7、如果正在使用IE6浏览器,应该怎么做?
笔者建议,现有的IE6用户应该尽早对其浏览器进行升级,毕竟微软最新的Windows Vista和Windows 7操作系统都不能够运行IE6浏览器。此外,IE6中还包括固有的漏洞,如果用户执意使用IE6浏览器的话,那么则必须采取额外的安全防范措施。
#8、是否具备继续使用IE6的安全方法?
如果您必须使用IE6浏览器的话,那么最安全的方式就是创建一个虚拟机。
#9、是否需要切换IE至其他浏览器?
笔者看来,如果不存在兼容性和支持问题的话,您可以选用Firefox或Chrome浏览器,反之,IE浏览器也是一个不错的Web浏览工具选择。
U盘传播的病毒 _ U盘病
打开U盘才不会中毒的方
查看所有0条评论>>