首页  苏迪视界 > 正文

安全风险来袭——你的系统还只支持IE吗?

2016-01-081196

当地时间1月12日周二,微软将发布2016年度的第一波安全补丁,而对于IE8、IE9和10这些旧版本的IE浏览器而言,这也将是它们最后一次获得安全更新,之后微软将彻底停止对它们的支持。

这些旧版IE将不会再获得安全更新,因此更容易受到黑客攻击,面临极大安全风险。



时代终结,IE淡出
这次来真的!
前年8月宣布将停止对IE8、IE9和IE10的技术支持。
去年3月微软将IE定位为“遗留资产”,保留其存在主要是出于企业用户兼容性考虑。
现在,微软终于亲手让这个划时代产品终结。

在1月12日之后,旧版本用户将不会收到任何来自官方的IE安全更新和技术支持。
此外,微软还将针对运行Windows 7或Server 2008 R2的机子推送新的补丁更新——KB3123303,它将提醒用户升级到最新版。


还想用微软,有什么选择?
微软粉只剩下两个选择:
要么升级到IE11,要么一步到位升级到Windows 10,直接用上新的Edge。

IE11还好说,但是微软寄予厚望的Edge却还是个付不起的阿斗,全球普及率只有大约2.2%,还不到Windows 10的五分之一。
有趣的是,微软为了宣传Edge多么受欢迎,给出了一个数据:仅仅上个月,Windows 10 Edge浏览器就被使用了超过445亿分钟。
但是按照Windows 10 2亿用户量算下来,平均每人每天才使用Edge 7分钟,狠狠地打了自己一脸。


建议升级,检查系统
除了建议用户升级浏览器,或转向其他厂商浏览器以保证用户自身环境安全外,苏迪提醒学校IT管理部门检查是否还存在“仅支持IE浏览器”或“部分功能必须在IE浏览器环境下运行”的网站群、信息门户、各类应用系统,防患于未然。

同时,建议IT管理部门在产品选型时,将浏览器兼容性作为重要指标考量,以避免安全问题,同时适应更广泛的用户选择。


更多安全风险预警
12月以来,几乎每月都会有一大波漏洞爆出。

上次苏迪提出关注Struts 2的远程代码执行漏洞,近期WooYun又爆出教育用户网站存在不少漏洞:

如:
北京某大学后勤管理平台webshell上传漏洞
武汉某大学站点SQL注入
长春某大学站点弱口令导致getshell
吉林某大学站点SQL注入泄露大量师生信息
……

不胜枚举。

系统漏洞所造成的风险,除了常见的注入、跨站攻击、恶意上传等Web漏洞外,还包括业务设计缺陷造成的风险,如任意用户密码重置等,与常见的注入、恶意上传不同,业务逻辑的漏洞不会直接影响服务器的安全,但会影响用户的账号和隐私安全,若被黑客利用或曝光,将严重影响业务数据安全和网站的公信力。

苏迪正在执行“安全月”巡检,技术服务部门将对所有网站群、信息公开、教师个人主页、校友系统等用户进行免费安全巡检,诊断部署环境安全情况、检查系统运行状态、分析备份和恢复策略,在巡检结束后出具巡检报告,并在寒假之前协助学校完成安全加固。

同时,建议用户尽快升级到专业网站群平台,以避免更多安全威胁。


更多资讯可关注苏迪科技微信公众号获取。