捷克論壇 JKF

 找回密碼
 加入會員
搜尋
查看: 892 | 回覆: 0 | 跳轉到指定樓層
CCSUN
王子 | 2009-4-12 16:30:17

潛伏半年的IE 7零時差漏洞被揭發

文/黃彥棻 (記者) 2008-12-23

IE 7.0有一個已經存在半年的零時差漏洞,微軟將此漏洞視為個案,若經評估為高嚴重性,會立即推出修補程式。

日前中國資安公司「知道安全(KnownSec)」聲稱,已發現有網頁掛馬程式利用了IE 7.0尚未修補的零時差(Zero Day)漏洞。臺灣資安廠商阿碼科技測試比對後則發現,近期微軟公布的12月修補程式(Patch)並未修補此一漏洞。臺灣微軟則表示,美國總部將視此一漏洞的嚴重性,採取個案處理。

「知道安全」公司在網站中指出,該公司近期在偵測許多網站掛馬程式,才發現這樣一個針對IE 7.0的攻擊碼,而且已經有駭客針對此一零時差漏洞,研發網路掛馬產生器,在12月9日也首度出現針對此一漏洞的網頁掛馬。

阿碼科技執行長黃耀文表示,從2008年7月開始,便陸續傳出有IE 7.0的漏洞,11月則傳出網路黑市有在買賣此一IE 7.0零時差漏洞資訊。他指出,目前已經有很多針對IE 6.0的網頁掛馬產生器,只要能再掌握IE 7.0的瀏覽器漏洞,駭客就可以把各種版本瀏覽器的漏洞打成一包,作成萬用工具,不僅可以自行判斷瀏覽器版本,還可以自動選擇適當的攻擊程式發動攻擊,大幅度提高攻擊成功的機會。

根據Net Applications的瀏覽器市占率調查,IE 7.0的市占率已經達47.39%,鎖定IE 7.0漏洞的攻擊程式,將會威脅近5成的上網用戶。

這個漏洞出自於IE 7.0 SDHTML元件出錯,攻擊者可用JavaScript來攻擊,進而安裝木馬程式。阿碼科技資安技術顧問邱銘彰表示,針對IE漏洞的攻擊非常廣泛,一旦這個零時差漏洞被公布後,馬上會在網路世界傳開,就會有許多駭客研發相關的掛馬產生器,一旦惡意網頁被製造出來,網路上到處都會有這樣的攻擊,對於多數的網路使用者將造成很嚴重的影響。

這個已經出現半年之久的IE 7.0零時差漏洞被發現時,適逢微軟每個月定期發布安全性公告,黃耀文表示,微軟這次發布的修補程式雖然包含許多IE 7.0的修補程式,但並未包含這個最新發現的零時差漏洞。

臺灣微軟資深產品行銷經理羅廷儀表示,美國微軟總部已經接到這個零時差漏洞的訊息,目前正由微軟安全反應中心(Microsoft Security Response Center,MSRC)評估這個漏洞的嚴重性。她說:「微軟會對此一零時差漏洞視為個案處理,若該零時差漏洞如同先前MS08-067漏洞一樣嚴重,也會立即發布相關的修補程式。」
中華電信資安技術組研發組長李倫銓表示,Windows Vista作業系統的使用者不需要太擔心,只要把DEP(Data Execution Prevention,資料執行防止)和 UAC(User Access Control,使用者帳號控制)全開,並開啟IE 7保護模式,網路瀏覽安全性無虞。

若是Windows XP或Windows Server 2003的使用者,黃耀文建議,暫停使用IE 7.0,改用其他如Firefox或Opera瀏覽器,或檢查用戶端惡意程式的掃描記錄是否有異常,判斷是否已遭到相關攻擊。文☉黃彥棻



IE 7.0存在半年、近期才被揭露的零時差漏洞,微軟若不能及時修補,將是駭客發動網頁掛馬最好的機會。照片提供/阿碼科技

http://www.ithome.com.tw/itadm/article.php?c=52707
我回來了.
回覆 使用道具
您需要登入後才可以回覆 登入 | 加入會員

回頂部 下一篇文章 放大 正常倒序 快速回覆 回到列表