安全服务商Zscaler的报告称,尽管微软IE6曾遭受一系列强势攻击并且新出的IE版本有更强的安全性能,但IE6依然受到各企业的热捧。
尽管微软一直敦促用户部署浏览器更新(截止2010年八月就将满九年了),但Zscaler在对其客户群的研究中发现大约一半的IE6 用户没有实时更新。Zscaler 的高级安全研究员Mike Geide表示,看到如此多的人抛开IE6的安全隐患依然使用该浏览器,他觉得很不可思议。
Geide说:“看到IE6的应用如此之广着实让人有些不安,鉴于它没有像IE7和IE8那样的最新保护体系:特别是数据执行保护、地址空间布局随机化以及黑名单的利用。”
Zscaler最近发布了其2009年第四季度的客户群“网络状况报告”。Geide称,企业继续使用IE6会带来安全隐患,特别是黑客在一系列攻击中利用IE6漏洞成功地渗透到Google企业网络和其它二十多家企业网络中的事件发生之后,这一问题的严重性越发明显。
那么为什么还有如此多的用户仍然在使用IE6呢?Geide说,客户之所以厌倦更新到IE7或IE8是因为许多情况下,他们没有完成对内部的Web应用程序在新浏览器上运行的兼容状况的大量必要测试。Geide认为这是个问题,因为确保企业员工使用最新的浏览器是和安装最新的操作系统补丁一样重要的。
Geide相信CISO会考虑让企业更新到IE7或IE8,以获取更新的防护。另外作为对clickjacking(点击劫持)攻击防范功能的补充,微软推动AJAX以改进安全代码编写并让数据执行保护处于默认开启状态,这一功能可以阻止标记了非可执行的代码在内存中运行。最新的浏览器还包括其他的安全功能,可以防范钓鱼攻击和跨站点脚本(XSS)攻击。
他还表示:“事实上,微软仍然在为IE6提供支持服务,而且至今仍未停止……这意味着微软仍然在为IE6提供补丁更新。可能有些CIO 或民众认为如果他们运行的IE6补丁部署完备,那么他们会和那些补丁部署完备的IE8用户获得同等程度的安全防护,但事实上并不是这样的。”