作為瀏覽器雖已結束 但針對IE的攻擊仍未消停

上周三,Internet Explorer 正式退役。IE 於 1995 年推出,作為 Windows 設備的默認瀏覽器已預裝了將近 20 年,與 Windows XP 一樣,Internet Explorer 曾經是最受歡迎的桌面瀏覽器。雖然上周的宣布意味着會有更多人離開這款歷史悠久的瀏覽器,但安全研究人員強調,IE 及其許多安全漏洞還遠未消失。

作為瀏覽器雖已結束 但針對IE的攻擊仍未消停

在接下來的幾個月里,微軟將在 Windows 10 設備上禁用 IE 應用程序,將用戶引導至其於 2015 年首次發布的下一代 Edge 瀏覽器。不過,IE 圖標仍將保留在用戶的桌面上,並且 Edge 包含一項服務稱為“IE 模式”以保留對為 Internet Explorer 構建的舊網站的訪問。

微軟表示,它將至少在 2029 年之前支持 IE 模式。此外,IE 目前仍可在所有受支持的 Windows 8.1 版本、帶有微軟擴展安全更新的 Windows 7 和 Windows Server 上運行,儘管該公司表示最終將逐步淘汰 IE 模式。

在 Edge 亮相七年後,行業分析表明,Internet Explorer 可能仍佔據全球瀏覽器總市場份額的 0.5% 以上。而在美國,這一比例可能接近 2%。

網絡安全公司 Cofense 的長期獨立惡意軟件研究員和首席威脅顧問 Ronnie Tokazowski 說

我確實認為我們已經取得了進展,未來我們可能不會看到那麼多針對 IE 的漏洞利用,但在很長一段時間內,我們仍然會有少量 Internet Explorer “釘子戶”被騙子利用。IE 作為瀏覽器會消失,但它會其他方式繼續存在。

Microsoft Edge Enterprise 總經理 Sean Lyndersay 回顧道:“我們沒有忘記,Web 的某些部分仍然依賴於 Internet Explorer 的特定行為和功能。但這要從 Edge 重新開始,而不是試圖挽救 IE。Internet Explorer 的增量改進無法與整個網絡的總體改進相提並論,因此我們重新開始”。

微軟表示,它仍將支持 IE 的底層瀏覽器引擎,即“MSHTML”,並着眼於仍“在關鍵環境中使用”的 Windows 版本。但 Google Project Zero 漏洞搜尋團隊的研究員 Maddie Stone 指出,黑客仍在利用 IE 漏洞進行現實攻擊。

她在 4 月的時候指出

自從我們開始追蹤被黑客利用的零日漏洞開始,每年針對 IE 的零日漏洞都非常穩定。2021 年實際發現的零日漏洞數量和 2016 年幾乎相同,雖然 IE 在網絡瀏覽器用戶中的市場份額繼續下降。即使用戶不使用 Internet Explorer 作為他們的瀏覽器,但是 Internet Explorer 仍然是黑客入侵設備的重要突破口。

Stone 特別指出,雖然 Project Zero 檢測到的新 IE 漏洞的數量保持相當穩定,但多年來,攻擊者已經轉向通過惡意文件(如受污染的 Office 文檔)越來越多地針對 MSHTML 瀏覽器引擎。這可能意味着絕育 IE 應用程序不會立即改變已經發生的攻擊趨勢。

(0)
上一篇 2022-06-21 15:25
下一篇 2022-06-21 15:25

相关推荐