以下主要是写给订阅这个blog的非信息安全专业人士看的,同行们可以忽略
关于漏洞的相关信息在这里:http://www.microsoft.com/china/technet/security/advisory/971778.mspx。
目前微软还没有修复该漏洞。运气好的话,也许微软会在本月就发布补丁,但更大的可能是至少到下个月中旬才会有补丁。
无论你是否使用了微软提供的临时解决方案,我都建议大家在IE中进行以下的额外安全设置:
浏览器处 工具----internet选项----安全----自定义级别
在“运行未用 Authenticode 签名的组件”和“运行已用 Authenticode 签名的组件”下选择“禁用”。
这个设置并不会修复漏洞,但是可以让目前针对这个漏洞的利用方法失败。我建议大家让自己的IE浏览器一直保持着这样的安全设置,即使在微软提供了该漏洞的补丁之后。