IE漏洞遭色情网站利用

CNET新闻专区：Joris Evers　　20/09/2006

安全专家警告，未修补的微软IE漏洞已被不当的网站业者，包括色情网站，用来安装恶意软体。
安全业者表示，问题发生在IE 6处理某些图像的方式。当使用者点入网站或电邮内的恶意连结，便会在不知情的状况下被安装恶意软体。VeriSign旗下的 iDefense迅速反应小组主任Ken Dunham说：「完整更新过的IE也无法幸免。这个零时差攻击很容易复制，并且有很大的可能在近期内大幅扩散。」

Secunia和French Security Incident Response Team两家安全公司均将此问题列为最严重的等级。
间谍软体专业防护公司Sunbelt Software研发副总Eric Sites表示，作风可疑的成人网站最先利用这个IE弱点，其中一个案例是，某个恶意网站藉此安装「大量的广告软体」。
根据微软公司的安全公告，这个IE瑕疵将在10月份的例行更新修补，但可能「根据顾客的需求」提早释出。微软只会在攻击扩散时缩短更新周期。

网路安全公司Websense表示，攻击数量可能迅速上升。该公司的声明指出，经常被用来制作攻击网站的工具WebAttacker，似乎已就新的弱点完成调整。Websense表示：「我们已经证实有多个、之前未知的WebAttacker网站，正在利用此弱点安装恶意软体。我们预期，现有的数千个WebAttacker网站，在更新最近释出的工具组软体后，也将开始利用这个弱点。」

微软则表示，已经注意到这个弱点被利用。在制作更新的同时，该公司建议使用者随时更新安全软体，并在浏览网页时保持谨慎。微软也在公告中提供几个保护系统的替代方法。
这个弱点出自Windows元件”vgx.dll”，其作用是支援作业系统的Vector Markup Language文件。VML是用来处理网页上的高品质向量图像。

这已是几周来第二个曝光但未修补的IE安全瑕疵。上周，微软才证实IE存在与多媒体相关的ActiveX漏洞，攻击程式已在网路流传，使用IE 5和IE 6的系统可能因此遭挟持。另一个已被利用的Word 2000瑕疵也尚未修补。（陈智文/译）

转自Taiwan.CENT.com
taiwan.cnet.com/news/software/0,2000064574,20109768,00.htm