这是近一年半以来微软第二次紧急发布系统补丁了，不过这一次IE浏览器0Day事件还是让微软负责安全的人员感到颇为吃惊，因为在以往的情况下，微软的安全人员总会通过非常规渠在事前得到0Day的相关信息，而此次IE浏览器0Day漏洞，竟然是在漏洞生成器已经流落到民间黑客手中的时候，微软才发现。

　　在微软发现之前，该漏洞已经通过小范围的黑色渠道流传了近半个月的时间。发现该漏洞的黑客之所以在发现后没有第一时间通过正常渠道公开为自己在安全圈的“名望”造势，估计也是由于该漏洞的可利用价值太高了。

　　不过有趣的是，现在网络安全圈竟然也开始学起了恐怖分子的手法，发动恐怖攻击的人往往很低调，反而是一些不知名的组织会声称对恐怖袭击负责。此次IE7 0Day的漏洞风声一出现后，国内几个小黑客组织和某安全软件厂商就声称是自己的“疏忽”，导致了该漏洞的曝光和泛滥，语气相当可笑。

　　不过这样的言论还是引起了国外媒体的注意，美国知名的计算机世界网站竟然开始一本正经的分析这些“吹牛”言论，并将互联网安全越来越不稳定的责任指向了中国。

　　IE7 0Day的危险性

　　此次这个IE7 0Day比起前不久刚刚爆出的MS08-067而言，不仅仅在发动攻击式的隐蔽性高，而且攻击的软件扩展范围和攻击的手段也非常多。举例而言，如果黑客利用MS08-067发动攻击，他们首先需要客服的就是来自电信部门的端口限制，虽然MS08-067的威胁性如同当年蠕虫冲击波利用的RPC漏洞如出一辙，不过由于该漏洞仍然主要依靠篡改网络数据包进行攻击，所以会受限于网络环境，最多只能够在公司和学校的内部小范围的散播，已经无法构成当年冲击波病毒横扫一片的恐怖场面。

　　但是目前这个被微软编号为“961051”的IE7 0Day则不同，黑客可以轻易的利用这个漏洞构造出带有攻击性的网页代码，并可以将这个恶意代码植入任意的网页。当然这个网页不仅是正常的网站，还有可能是迅雷、QQ的弹出欢迎菜单；可能是你的Outlook查收的HTML贺卡，也可以是其它调用IE内核的第三方软件，总之所有有可能通过IE内核访问网页的软件都可以被插入攻击代码，并让没有修复漏洞的用户中招。

　　全球网站将遭遇攻击高峰

　　由于黑客利用该IE7 0Day漏洞最好的方式就是通过用户信任的网站进行挂马，因此相信未来的一段日子，针对一些网站的SQL注入行为将大范围重现，特别是新的针对PHP和JSP网站的高级注入行为，当然网站安全性较差的中小企业网站将会是此次全球网站攻击浪潮的主要受害者。

　　因此，在这一段敏感时间内，希望广大网站管理员加强自身服务器安全性的检查，特别是对于网页被篡改和注入式攻击的检测和防范。而普通用户可以选择使用【锐甲】等防挂马软件进行防护。

　　由于该IE7 0Day漏洞的攻击代码产生变种的方式有多种，因此利用该IE7 0Day漏洞的攻击行为相信将会持续一段时间，加之年末将迎来圣诞与新年假期，黑客们很可能利用这个IE7 0Day漏洞制作成诱惑性较强的网页贺卡或者电子邮件广泛传播。