IE8出现7个月未修补的漏洞！

TippingPoint旗下的“零时差计划”（Zero Day Initiative, ZDI）本周三（5/21）公布了一个IE8漏洞，此一允许远端攻击的微软浏览器漏洞早在去年10月就提交给微软，但迟迟未被修补，使得ZDI依据其揭露政策于本周公开了该漏洞。

ZDI为一鼓励研究人员提交漏洞的奖励计划，当研究人员发现软件漏洞时，ZDI会给予奖金，然后将漏洞提交给软件制造商，并会在180天后公布漏洞细节。ZDI表示，他们在去年10月把漏洞资讯提交给微软，微软于今年2月证实了此漏洞，在今年4月届满180天后，ZDI即通知微软，并于本周公布漏洞。

根据该漏洞的说明，当使用者以IE8造访恶意网站或开启恶意档案时，骇客便有机会攻击该漏洞，于远端执行任意程式。虽然IE版本已进展到IE11，但Net Applications的数据显示，IE8是目前最受欢迎的IE版本，今年4月的市占率为20.85%，比IE 11的16.61%与IE9的8.89%还高。

IE8也是已退役的XP操作系统所能使用的最高IE版本。自IE 9之后就不支援XP，换句话说，XP电脑若安装的是IE 8，并无法再往上升级更新的IE版本。反观Vista及Windows 7等PC可能也安装IE 8，但都有更高的IE版本可以升级。

微软回应了媒体的询问，表示他们知道ZDI要公布IE8的漏洞，但迄今尚未发现任何客户受到该漏洞的影响；微软尽可能全面测试每一个安全修补程式，有些修补程式较为复杂，必须在不同的程式、应用与配置下进行测试，微软仍在努力解决此一问题，会在适当的时机释出更新。另一方面，微软仍然鼓励使用者升级操作系统与IE版本。

对于外界批评微软忽视此漏洞，发现该漏洞的安全研究人员Peter Van Eeckhoutte则替微软缓颊，认为180天虽然是修补大多数漏洞的合理时程，但他不相信微软没有修补是因忽视或不在乎安全，只是也只有微软自己知道原因。（编译/陈晓莉）