微软近期对Microsoft Edge浏览器的Internet Explorer(IE)模式实施严格访问限制,以防范黑客利用Chakra JavaScript引擎中的零日漏洞发起攻击。这一安全调整于2025年10月13日由科技媒体披露,随后微软官方确认了相关措施。
根据技术分析,攻击者通过构建伪装成正规网站的欺诈页面,利用社会工程学手段诱导用户启用IE模式加载内容。当用户响应页面提示切换至IE模式后,攻击者即可触发Chakra引擎中的未修复漏洞,获取远程代码执行权限。随后通过第二个漏洞实现权限提升,最终突破浏览器沙盒环境,完全控制受害设备。
Edge安全团队负责人Gareth Evans指出,情报显示此类攻击已形成完整链条,主要针对缺乏戒备的普通用户。为阻断攻击路径,微软移除了工具栏专用按钮、右键菜单选项等快捷启用IE模式的方式。现在用户必须通过”设置>默认浏览器>允许”手动添加特定网站至IE模式白名单,才能使用该功能。值得注意的是,企业用户通过组策略统一配置的IE模式不受此限制影响。
此次安全升级反映了微软在浏览器防护策略上的主动调整。尽管IE模式本为兼容旧版网站设计,但其存在的攻击面已被恶意行为者持续利用。微软强调,新措施旨在平衡兼容性需求与安全防护,促使用户更审慎地使用遗留技术功能。目前尚未公布该零日漏洞的具体补丁时间表,但限制访问模式被视为有效的临时缓解方案。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
