微軟在週六証實,存在於 IE6、IE7、IE8 裡面的安全漏洞,會引發零日 (zero day) 攻擊,讓受害者的電腦被綁架,執行任何攻擊者想要執行的程式碼。如果你是 Windows 7 的用戶,趕快升級到更安全的 IE9 吧!
在微軟的安全性摘要報告(2794220)中指出,他們正在調查 IE6、IE7、IE8 裡的安全漏洞,並且發現有目標性的攻擊要利用 IE8 漏洞來進行,當使用者瀏覽含有惡意程式的網站就會受到影響,不過 IE9、IE10 沒有這個問題。目前微軟正在全力趕工以推出修補程式。
微軟官方也對這樣的狀況進行了說明:
Internet Explorer 存取記憶體內已遭刪除或配置不當的物件的方式中,存在一個遠端執行程式碼的資訊安全風險。此資訊安全風險有損毀記憶體之虞,其結果將使攻擊者得以在 Internet Explorer 程式內,以目前使用者的權限等級執行任意程式碼。攻擊者可以針對這個經由 Internet Explorer 引起的資訊安全風險來設計並架設蓄意製作的網站,然後引誘使用者檢視該網站。
以下就是官方列出會受到影響的瀏覽器與作業系統組合:
所謂零日攻擊又稱為零時差攻擊,簡單來說,就是漏洞被官方發現或公開前進行的攻擊。在「漏洞發現」到「修補漏洞」中間會有一段空窗期,因為發現漏洞時,軟體公司得花一段時間來製作修補程式,但是通常「發現」這個漏洞的人就是黑客,所以修補程式發布前,攻擊程式可能已經準備好等待使用者上門。而且就算發布了修補程式,離使用者意識到危險並實際執行修補也還有一段時間,有的電腦也許早就被攻陷了。
IE 瀏覽器並非第一次出現零日攻擊安全漏洞,至少在9月的安全性摘要報告 (2757760)中也發現同樣的狀況。
在修補程式推出之前,微軟官方建議可以先安裝 EMET 安全工具,防止有心人士利用軟體漏洞進行攻擊。使用 EMET 的方法很簡單,下載安裝後,在 EMET 裡面把 IE 瀏覽器程式的路徑,例如「C:\Program Files (x86)\Internet Explorer\iexplore.exe」加入即可。
隨著上網的時間愈來愈多,許多人透過社群網站分享各種來源的文章,在通訊軟體裡也常會收到連結,因此連上不安全網站的機會大增。如果你還是非 IE 不用的話,趕快升級到 IE9 吧!但是 Windows XP 的用戶無法使用 IE9,在修補程式出來以前,可以先提高瀏覽器的安全等級,如果覺得麻煩的話,也可以暫時改用其他瀏覽器,以策安全。
資料來源:Security TechCenter
延伸閱讀:
Facebook CEO 隱私在 Twitter 上外洩?原來都是家人惹的禍!
Facebook Camera 出包,駭客可透過 Wi-Fi 入侵手機,綁架用戶帳號、密碼
切斷電源〒ˍ〒
不過升級到 ie10b
噴子就用力噴吧
這年頭也只有M$還在更新這些老軟體
chrome/firefox/safari太老舊的版本出漏洞!!!....抱歉!請換新版..我們不提供老舊版本的維護服務╮(╯_╰)╭