ADVERTISEMENT
Google退出中國的戲碼還沒演完,矛頭已經從男女主角被指向了IE的漏洞,全世界都在等微軟釋出更新程式,還好他們也很爭氣,今天早上我們查看安全佈告的時候,發現修補程式已經完全上線了。
前情提要
日前Google宣布停止配合中國政府過濾搜尋內容,原因是他們遭到一連串精密的駭客攻擊,該攻擊從中國發出、而且特別針對中國人權份子的Gmail信箱而來。Google發現不只有他們,至少有其他20家大型企業也遭遇相同的狀況,目前全案協同美國政府調查當中。
接著McAfee的CTO發表了部落格文章,說他們研究發現這一連串攻擊是針對微軟IE瀏覽器漏洞的「zero day attack」,接著媒體鄉民們當然就紛紛追打並拒用IE瀏覽器了。
只有IE 6確定受害
身為IE「非愛用者」的筆者當然也有點開心,不過也另一些人開始分析,應該要更精確的指明Windows XP上的IE 6才是目前已知的受害者,況且我們並不在20大企業上班,駭客不會閒著無聊攻擊平凡老百姓。
這些評論應該是從微軟TechNet部落格下的這篇文章引申而來的,文中也簡單解釋了這個代號「極光」行動(Operation Aurora)的駭客手法。撇開政治商業的紛紛擾擾,趁著這次機會長點知識才是最實際的。
▲微軟TechNet部落格表列了實際受影響的瀏覽器,其實只有Windows 2000和XP的IE 6。
完全看懂零日攻擊
所謂的zero day attack(零日攻擊),就是利用還沒有人發現的軟體漏洞所進行的攻擊行為。當漏洞被發現之後,軟體公司和駭客之間就像在比賽一樣,公司趕著釋出修補程式,而駭客搶在空檔期間進行攻擊行動。因為攻擊是從漏洞被發現的第「0」天展開,所以統稱為零日攻擊。
其實在調查行動的一開始,也有人懷疑駭客是針對Adobe Reader的漏洞進行零日攻擊。現在許多網站都依靠Flash等外掛程式呈現,所以即使各大瀏覽器修補漏洞的速度再快,仍有可能經由外掛的臭蟲受到入侵。
在TechNet的文章中解釋,駭客是利用JavaScript複製、釋放特定DOM元件的記憶體,接著經由隨機執行閒置記憶體來置入攻擊程式。所以,先前有人說把IE的安全性設到最高就沒事了,其實Server版的Windows作業系統就是這麼幹,實際上就是禁用JavaScript的意思,當然駭客沒得玩了,你也幾乎沒什麼網頁可以看了。
為什麼只打IE 6?
至於為什麼有些版本與系統的IE不受影響,應該是說,JavaScript的漏洞還是存在,只是DEP(資料執行防止,哪門子的翻譯)和保護模式(protected mode)發揮作用,讓駭客無法取得主控權。所以啦,雖然這次的漏洞修補程式已經發佈了,升級新系統和瀏覽器才是治本之道。
預設啟用DEP的版本只有Windows XP SP3底下的IE 8、以及Vista SP1和Windows 7。DEP禁止非標示為程式區塊的記憶體被執行,所以才叫「Data Execution Prevention」(資料區塊不會被執行)。而保護模式則是從Vista的預設瀏覽器IE 7開始引進的功能,Vista設定了6種安全層級(integrity level),IE所處的保模式只有低安全層級(low),因此不能修改或刪除預設為中(medium)甚至更高層級的檔案與程式。
▲從Windows XP SP2開始內建DEP功能,但不是每個版本的IE都會啟用。
其實微軟比你想得勤快
另外,雖然大家喜歡取笑微軟反應遲鈍,漏洞百出,實際上在調查結果釋出後,他們就馬上發佈了「Microsoft Security Advisory (979352)」這篇安全建議,以及剛剛我們引用的Assessing risk of IE 0day vulnerability部落格文章,差不多在6天以後的現在釋出更新檔,比例行的2月9日早了好幾個禮拜。
至於打死不換瀏覽器的「IE 6死忠用戶」是怎麼搞的呢?仔細想想,如果你不換Vista也不升Windows 7,Windows XP預設瀏覽器就是IE 6,微軟在去年底才隨著Windows 7釋出SP3更新包,裡面還是沒有IE 7,想升級的人得自己動手來。對於沒有技術或時間自製整合光碟的一般使用者來說,裝好的XP就是IE 6,甚至連身經百戰的T客邦編輯,也可能名列其中。
是的,雖然大陸極光行動應該打不到你,為了謹慎起見,換用有更多保護機制的IE或其他瀏覽器會更好。再不然,至少把這個剛出爐的「KB978207」修補程式「打上」吧,IE 6以外的系統也能裝喔。
▲KB978207修補程式已經送上Windows Update了,正版用戶只要檢查一下就能更新。
▲如果因為神祕原因不能用線上更新,到微軟網站搜尋KB978207就可以下載獨立更新程式。
▲雖然這次的漏洞補上了,最好還是升級到IE 8取得更高的安全性。
▲如果真的什麼都不想做,TechNet文章底下也有快速啟用DEP的「Fix it」連結。
▲微軟在Windows 7底下提供的虛擬XP,雖然已經是SP3,很不幸它還是用IE 6。
我剛看完這篇
馬上系統蘭就問我要不要更新XD
版本還是6.0
趕快來升級8.0囉
電腦裡有IE6但是只用其他瀏覽器會被駭?
還是用IE6連上網路會被駭?
(尤其是對不常使用電腦的使用者而言。)
即使 Windows 已經出了好幾百個修正了,但還是會有些人的電腦,裝都不削裝,甚至覺得這支程式很煩。(有些人的反應很直接,看不懂,然後點右上方的叉叉關掉)
有興趣的人可以找人實驗看看
更慘的是公家單位九成七都是使用ie6 且有修正的說實在的 也不能說達8成吧
修正後 公家系統不能正常使用反而是最糟糕的事
中国黑客榜中榜