IE漏洞出現攻擊碼

| | | | | | 1則回應

    

安全專家21日警告，微軟IE網路瀏覽器的新瑕疵，已經出現刺探程式碼，可能導致系統遭受遠端攻擊。

根據安全業者Secunia的公告，21日曝光的刺探碼，是針對Windows XP SP2適用之IE5.5與IE6共有的「極端危急」的安全弱點。電腦使用者一旦被誘往惡意網站，該程式便能自動執行，不需使用者採取任何動作。

Secunia科技長Thomas Kristensen表示：「攻擊者可利用這個刺探碼在別人的電腦隨意執行任何程式，那有可能是非常惡劣的東西。」SANS Internet Storm Center指出，該瑕疵位於IE用來下載網頁至電腦的Javascript元件中。

微軟尚未提供上述漏洞的修補程式。安全業者建議，使用者可選擇關閉Javascript，或改用另一種瀏覽器暫時迴避。

安全研究員表示，這項IE弱點早在半年前就被發現，但一直被視為阻斷服務（DOS）攻擊的可能管道，而非遠端執行程式的入口。以大量資料灌爆系統的DOS攻擊，通常被視為嚴重性較低的安全威脅。

Sans Institute首席研究員Johannes Ullrich說：「該弱點本身已被發現好一陣子，但只被視為可能不時造成IE當機的DOS攻擊問題。直到現在，才有人知道如何標記程式碼，把它找出來，用以執行遠端程式攻擊。」該刺探碼是由一個名為Computer Terrorism（電腦恐怖主義）的組織所公佈。

Ullrich說，由於一直被視為DOS瑕疵，微軟從未修補該問題。他說目前還不知道微軟會否立刻進行補救，或者等到下個月的例行安全更新。

微軟的代表直到21日上午都無法提供一明確的說法，僅表示公司正在調查Windows 2000 SP4和Windows XP SP2顧客使用IE瀏覽器可能遭逢的安全弱點。該名代表說：「我們也注意到可能利用該弱點的”概念驗證”碼，但目前沒有發現任何顧客受影響。」

微軟的代表說，公司在完成調查後，將採取適當的行動，利用每月的安全快報計畫，或個別的安全公告提供修補程式，保護顧客。（陳智文）