新闻链接：http://www.seehand.com/community/1280.html
新闻时间：2016.01.13
新闻正文：
      当微软官方在2014年4月8日停止为Windows XP提供安全支持的前后，紧张的气氛就有些高涨。很多人认为，正在囤积漏洞的全世界黑客都在期待那些XP机器永远处于暴露的日子。

      然而，该针对剩下仍使用的XP机器的恶意软件预言从未成真。

      而且，我们现在再次遇上了微软宣告的重要截止期限，紧张气氛也正在酝酿——但是这次有好的理由。

      下周二将迎来微软2016年的第一批公告，它也将宣告对IE8、IE9和IE10停止安全支持。微软几乎在18个月前就做出通知，为企业提供充足的时间为这天做准备，在这一天到来时，那些受零日漏洞、利用工具和带目标攻击折磨的IE版本就应退役了。

      然而，通常事与愿违。

      依赖于自己为IE8、IE9和IE10开发的WEB应用的企业和中端产品公司并不着急，因为重新开发使这些程序无缝衔接地运行在IE11或新Edge浏览器中需要花费大量成本。针对大量数据源的统计表明，仍然有很大一部分网页流量来自于IE。例如，Netmarketshare.com称，尽管IE11占用25%以上的市场份额，但IE8、IE9和IE10一起仍占有20%以上的份额。Duo Security公司的研究人员查看了流经他们服务的流量，认为IE9和IE10的百分比会更高一些——几乎为36%——运行于Windows 7、8或8.1。

     考虑到浏览器相对于操作系统而言历来给攻击者提供了更多成功可能性的攻击面，人们可能会认真严肃地对待周二的截止期限。

     “在大多数案例中，攻击者如果要利用Windows XP漏洞则需要连接本地网络或者能够欺骗用户打开恶意文件，”Tripwire安全研究员Craig Young说道，“在另一方面，网络浏览器当然地被用于持续地从可能的非信任来源处理数据，会使用户暴露于广阔的攻击范围中。”

     作为其一部分，微软持续以近创纪录的速度为IE提供补丁。补丁星期二（Patch Tuesday）即每月的第2个星期二均会带来浏览器的积累性更新，有时候会解决二三十个CVE（通用漏洞披露），这些CVE大部分会使远程代码执行和绕开现有的安全措施成为可能。

     “攻击者从2014年夏天起就已知晓微软要停止对IE的支持；可以合理的假设，攻击者知道人们还使用这些平台而且会利用这些条件，”Duo Security公司的研发项目经理Michael Hanley说道，“我们预测2016年仍然会有针对IE8、9和10的侵略性攻击。”

      Tripwire公司的Young说，即使攻击者目前可能没在贮藏IE8、IE9和IE10的漏洞，他们会关注IE11以后修复的东西。

      “也可以很保守地估计，即使攻击者没有在支持终结前囤积IE的漏洞信息，攻击者也可通过分析将来IE11的更新来轻易地学习攻击技巧，”Young说道，“使用Tripwire VERT漏洞数据库的粗略攻击显示，IE11中解决的漏洞三分之二以上在之前的版本中也需要修复。”

      然后就是程序的兼容性问题。专家称，企业应当在为适应最新浏览器升级应用的成本和因IE导致系统攻击造成的成本之间进行权衡。

      “因攻击而数据外泄的成本如此高，公司应当升级APP来支持最新的安全技术、浏览器和操作系统，”Hanley说道。

      Young强调说，因Windows Update自动升级，在安全方面，用户可能已经在用IE 11，因而走在企业改变之前。

      “对于某些应用，将代码转换为新浏览器可能比较繁琐，许多组织会尝试尽可能久地延后相关成本，”Young说，“尽管用不再被支持的浏览器访问行业特定的Web应用可能不会立即带来安全风险，但职工们在午餐时间开始浏览网页可能就会发生问题。对于因应用要求使用较老版本的网页浏览器的企业，建议禁止通过这些系统浏览网页。”

[课程]Linux pwn 探索篇！