微软本周四发布一项紧急补丁，用于阻截攻击者利用IE 6中的漏洞发起的企业网络攻击。

　　这一重要更新的编号是MS10-002，它修复了八个漏洞。它能够阻截现有的公开攻击代码，据信最近Google、Adobe Systems Inc.以及其他30家公司遭受到的零日漏洞攻击都利用到了这些攻击代码。攻击者的目标是运行在Windows XP上的IE 6用户群。这一更新影响到所有的IE版本。

　　微软的高级安全项目经理Jerry Bryant说：“微软在持续观察中发现的有限攻击目标仅限于IE6，微软建议用户尽快部署这一安全更新，以避免遭受已知攻击的侵袭。”

　　IE包含了一系列的内存损坏漏洞，黑客会利用这些漏洞来欺骗用户访问恶意网站网页。微软说它还修复了一个URL验证操作上的错误，攻击者可以使用恶意URL来攻击这一漏洞。IE 8中的跨站点脚本过滤器迂回漏洞会允许被禁用的脚本运行，并导致信息的泄露。

　　微软说所有的这些漏洞都会导致信息的泄露或让攻击者完全掌控系统，安装程序，查看、改变或删除数据。

　　微软在其安全公告中称，最近发生的一连串的公司网络攻击都利用到了这一漏洞，这一漏洞是存在于IE中的无效指针引用，当攻击代码迫使浏览器访问释放的对象时将导致内存损害情况的发生。

　　安全专家称最近发生的一连串的公司网络攻击中并没有出现新型或高级的攻击方式。软件安全专家Roger Thornton是静态分析和软件安全厂商Fortify Software Inc.的创始人兼首席技术官，他说：“这种类型的攻击已出现好多年了，它警示公司要采取纵深的防御方式而不能仅仅依赖特定的安全技术。虽然想要保护公司的整个网络不受侵袭是不太现实的，但一些现成的工具还是能够对网络攻击起到一定的阻碍作用。”

　　Thornton说：“如果由我来操控网络攻击并入侵你公司的网络，微软的IE将会是我入侵的切入口，它的代码量很大；我只要发现微软在其中犯下的一个错误，就可以发动入侵行动了。”

　　Thornton说：“大多数的攻击都选择浏览器漏洞，以及使用范围较广的Flash、Adobe Reader和Acrobat PDF应用中的问题，其他Web接口，还有操作系统错误。”攻击者在攻击个体方面也越来越厉害，他们会使用精明的社会工程策略。大多数的用户使用社交网络账户，从而让个人信息获取的渠道更加广泛，这有助于网络罪犯制作出更具欺骗性的信息来诱使他们访问某一网站或下载文件。

　　Thornton说：“世界上的每个国家都会对我们的安全秘密产生兴趣，我不刻意指责中国黑客或任何其他试图获取这些秘密的人。然而当这些漏洞发生在微软的产品中时，我着实吃了一惊，因为他们确实一直致力于解决这一问题，只是遗漏了一些问题。”