MSRC / By MSRC / November 11, 2013 / 1 min read

上周五晚（2013年11月8日），一个影响Internet Explorer ActiveX控件的漏洞CVE-2013-3918被公开披露。我们已确认该漏洞是原计划在“公告3”（即MS13-090）中解决的问题，该公告已列于11月高级通知服务（ANS）中。安全更新将于明天太平洋时间上午10:00左右通过Windows Update分发给客户。启用自动更新的客户无需采取任何操作即可接收更新。

在我们最终确定安全更新以解决此问题的过程中，我们鼓励关注此漏洞的Internet Explorer客户遵循以下缓解措施：

• 将Internet和本地Intranet安全区域设置设置为“高”，以阻止这些区域中的ActiveX控件和Active脚本
  • 此操作有助于防止利用，但可能影响可用性；因此，应将受信任的站点添加到Internet Explorer的受信任站点区域，以最小化中断。
• 配置Internet Explorer在运行Active脚本之前提示，或在Internet和本地Intranet安全区域中禁用Active脚本
  • 此操作有助于防止利用，但可能影响可用性，因此应将受信任的站点添加到Internet Explorer的受信任站点区域，以最小化中断。
• 部署增强缓解体验工具包（EMET）
  • 这将通过提供缓解措施来帮助防止此问题的利用，并且不应影响网站的可用性。

作为最佳实践，我们始终鼓励客户遵循“保护您的计算机”指南，包括启用防火墙、应用所有软件更新以及安装防病毒和反间谍软件。我们还鼓励客户在访问网站时保持谨慎，避免点击可疑链接或打开来自不熟悉发件人的电子邮件。更多信息可在www.microsoft.com/protect找到。

我们将继续密切监控威胁态势，并采取适当行动帮助保护我们的客户。

谢谢，

Dustin Childs
响应通信组经理
可信计算