中新網2月5日電 360安全中心今日發布橙色安全預警稱,微軟公司已證實Windows操作系統MHTML協議中存在一個高危0day漏洞,可能導致用戶電腦中的常用密碼、電子郵件等重要信息泄露,此問題將影響全球9億IE瀏覽器用戶,為此微軟官方已緊急提供臨時補丁。對此360安全專家建議,盡管該補丁可能帶來某些知名網站的兼容性問題,網民仍應盡快給電腦打上這一補丁。360安全衛士主程序也提供了該補丁的下載,以供用戶選擇安裝。
1、訪問微軟官網(http://support.microsoft.com/kb/2501696)下載補丁; 
2\2、雙擊運行微軟臨時補丁文件MicrosoftFixit50602.msi,勾選“我同意”,再點擊“下一步”; 
3、臨時補丁完成安裝,點擊“關閉”按鈕即可。
360安全專家石曉虹博士介紹說,很多網民習慣在私人電腦上對郵箱、微博等常用賬號“記住密碼”,相當于把這些賬號的“通行證”保存在了Cookie文件中,下次再訪問就可以直接登錄。而最新的MHTML 0day漏洞會導致網民電腦中的Cookie文件被黑客竊取,造成電子郵件泄露、微博賬號被黑客冒用等后果。
經過360安全中心驗證,微軟MHTML 0day漏洞主要影響各個Windows系統中的IE瀏覽器,最常見的攻擊方式是:黑客通過聊天工具、論壇等形式發布一個惡意的網址鏈接,誘惑網民點擊登陸。這個鏈接看起來是一家知名網站的頁面,實際上一點開就會運行惡意腳本,從而竊取網民電腦中的Cookie文件等重要信息,對受害者的個人隱私、賬號等造成嚴重威脅。
針對微軟官方提供的臨時補丁,360安全專家石曉虹博士表示,該補丁是通過“鎖定MHTML協議”的方式防范漏洞攻擊,但同時也可能會導致部分知名網站的正常功能出現兼容性問題。為此,360安全專家提醒網民,一旦安裝微軟臨時補丁后遇到某些網站功能失效時,可隨時下載微軟官方提供的“撤銷鎖定MHTML”的恢復工具,就能輕而易舉地撤銷之前的MHTML漏洞臨時補丁。
據悉,Google等知名網站都存在MHTML漏洞,而Google方面也已通知微軟安全部門,要求微軟盡快修復該漏洞。不過,根據微軟剛發布的2月補丁信息推測,微軟方面最快要到3月份才可能推出MHTML漏洞的正式補丁。對此,360安全專家石曉虹博士表示,MHTML漏洞目前還僅是一個嚴重威脅。截至發稿前,國內互聯網尚未發現有黑客大面積利用該漏洞的攻擊情況。
附1:
微軟針對MHTML漏洞提供的臨時補丁下載:http://go.microsoft.com/?linkid=9760419
微軟用于撤銷MHTML漏洞臨時補丁的回滾工具:http://go.microsoft.com/?linkid=9760420