近日，微软发布例行安全更新，修复了包括IE8零日漏洞CVE-2013-1347在内的多个缺陷。据悉，IE8零日漏洞成为黑客实施水坑式攻击的又一个入口，并且受害者中包括美国政府部门的员工。

水坑式攻击(watering hole)是一种新型钓鱼攻击方式，黑客瞄准目标对象后，先通过对目标的分析了解其行为特点，掌握目标经常访问的网站，然后寻找这些网站的弱点实施攻击，并植入恶意软件。一旦目标用户点击浏览该网站，恶意软件就会被植入目标对象的终端设备。形象的比喻，黑客好比野生动物节目中的猛兽，埋伏在水坑旁边，等着猎物喝水的时候自己送上门来。

5月初，美国劳工部官方网站和美国能源局SEM (Site Exposure Matrices)网站相继遭黑客攻破，而且都是利用该IE8漏洞。根据科技政府信息网Nextgov说明，SEM网站主要是在研究与发展核武有关的疾病。安全厂商AlienVault表示，黑客在网站服务器植入特洛伊木马程序Poison Ivy，再利用偷渡式下载(drive-by download)方式，一旦用户访问该网页，计算机就会自动下载并安装Poison Ivy木马。

虽然Poison Ivy的目的是窃取数据，但美国劳工部与能源局事后均未确认是否有信息外泄。AlienVault将本次攻击事件的矛头指向与Poison Ivy有关的黑客组织DeepPanda。2012年年底美国外交关系协会(Council on Foreign Relations，CFR)曾遭受类似攻击，因此被认为可能是同一批人所为。黑客当时是利用另一个IE漏洞进行水坑式攻击，当使用者访问已被入侵的CFR网站，其计算机就会遭受感染，而该起攻击也迫使微软在今年1月14日发出IE紧急更新。

微软于5月3日证实CVE-2013-1347漏洞的存在，并强调该漏洞仅存在于IE 8，其他IE版本均不受影响，并于5月8日释出暂时修补工具CVE-2013-1347 MSHTML Shim Workaround，同时将在上周的例行性安全更新中，针对Windows和IE释出10个安全更新，其中2个被列为重大(Critical)等级，8个属于重要(Important)等级，将修补包含CCVE-2013-1347等的34个漏洞。

IE8是目前微软五个支持的浏览器(IE6到IE10)中使用最普遍的。根据Net Applications最新的浏览器市占率分析，IE使用率占整体的55%，其中超过4成的IE用户都是使用IE8，相当于占整体的23%，因此IE8漏洞问题影响相当大。

(责任编辑：)