360安全中心今日發(fā)布橙色安全預警稱，微軟公司已證實Windows操作系統MHTML協議中存在一個高危0day漏洞，可能導致用戶電腦中的常用密碼、電子郵件等重要信息泄露，此問題將影響全球9億IE瀏覽器用戶，為此微軟官方已緊急提供臨時補丁。對此360安全專家建議，盡管該補丁可能帶來某些知名網站的兼容性問題，網民仍應盡快給電腦打上這一補丁。360安全衛(wèi)士主程序也提供了該補丁的下載，以供用戶選擇安裝。

360安全專家石曉虹博士介紹說，很多網民習慣在私人電腦上對郵箱、微博等常用帳號“記住密碼”，相當于把這些帳號的“通行證”保存在了Cookie文件中，下次再訪問就可以直接登錄。而最新的MHTML 0day漏洞會導致網民電腦中的Cookie文件被黑客竊取，造成電子郵件泄露、微博帳號被黑客冒用等后果。

經過360安全中心驗證，微軟MHTML 0day漏洞主要影響各個Windows系統中的IE瀏覽器，最常見的攻擊方式是：黑客通過聊天工具、論壇等形式發(fā)布一個惡意的網址鏈接，誘惑網民點擊登陸。這個鏈接看起來是一家知名網站的頁面，實際上一點開就會運行惡意腳本，從而竊取網民電腦中的Cookie文件等重要信息，對受害者的個人隱私、帳號等造成嚴重威脅。

針對微軟官方提供的臨時補丁，360安全專家石曉虹博士表示，該補丁是通過“鎖定MHTML協議”的方式防范漏洞攻擊，但同時也可能會導致部分知名網站的正常功能出現兼容性問題。為此，360安全專家提醒網民，一旦安裝微軟臨時補丁后遇到某些網站功能失效時，可隨時下載微軟官方提供的“撤銷鎖定MHTML”的恢復工具，就能輕而易舉地撤銷之前的MHTML漏洞臨時補丁。

據悉，Google等知名網站都存在MHTML漏洞，而Google方面也已通知微軟安全部門，要求微軟盡快修復該漏洞。不過，根據微軟剛發(fā)布的2月補丁信息推測，微軟方面最快要到3月份才可能推出MHTML漏洞的正式補丁。對此，360安全專家石曉虹博士表示，MHTML漏洞目前還僅是一個嚴重威脅。截至發(fā)稿前，國內互聯網尚未發(fā)現有黑客大面積利用該漏洞的攻擊情況。

附1：

微軟針對MHTML漏洞提供的臨時補丁下載：http://go.microsoft.com/?linkid=9760419

微軟用于撤銷MHTML漏洞臨時補丁的回滾工具：http://go.microsoft.com/?linkid=9760420

附2：微軟MHTML漏洞臨時補丁使用及撤銷的方法

1、訪問微軟官網（http://support.microsoft.com/kb/2501696）下載補丁；

2、雙擊運行微軟臨時補丁文件MicrosoftFixit50602.msi，勾選“我同意”，再點擊“下一步”；

3、臨時補丁完成安裝，點擊“關閉”按鈕即可。

4、如要撤銷該臨時補丁，點擊“撤銷鎖定MHTML”的按鈕，下載使用的方法和上述過程類似。