IE安全威脅升到最高點
在網路公布駭客範本程式之後,資安公司警告,Internet Explorer瀏覽器三個尚未有修補程式的安全漏洞已變得極其危險。
Secunia周五(7日)把這三個安全漏洞的警戒層級提昇到「極為危急」,是該公司最高等級。Secunia技術長Thomas Kristensen說,這三個漏洞影響IE第六版,可能讓駭客把間諜程式、色情電話撥號器等程式偷偷植入別人的電腦,再加以執行,受害者可能渾然不知。
其中一項漏洞出在HTML說明檔的控制上,12月21日GreyHats Security Group就把示範如何利用此漏洞的範本程式公告在網路上。
「我們把漏洞提昇到極為危急等級的先決條件,是外頭必須有可用的範本程式,而且是不需要使用者手動的程式,」Kristensen說:「這是本公司最高的警戒層級,也是最後一次提醒使用者亡羊補牢。」
Secunia說,此範本程式可用來攻擊使用Windows XP作業系統的電腦,即便已安裝SP2安全更新組件,也會受影響。該公司建議民眾,在微軟發布解決問題的修補程式之前,最好先解除IE的Active X支援,以防萬一。
Secunia也建議使用者改用別的瀏覽器產品。
Secunia也在安全通告中警告,另一項HTML說明控制的漏洞,一旦與拖曳的漏洞結合,可能被駭客利用來攻擊個人電腦,儘管那需要受害者合作才行。該公司早在去年10月就首度發布這三大安全漏洞的警示訊息。
「微軟早在10月就已獲知此事,」Kristensen說:「依我之見,拖了兩個月之久,特別是在外頭已把漏洞鉅細靡遺地公諸於世之後,竟然還未發布可用的修補程式,實在說不過去。」
微軟則表示,正在研究已公諸於世的範本報告,並解釋IE修補程式遲遲未發布,是因為製作有效的修補程式需要浩大的工程。
微軟一名發言人說:「安全回應需要在時機與測試之間取得平衡,而微軟只會在設計妥當並儘可能徹底測試過之後,才會發布程式更新。那可能耗時一天、一周、一個月或更久。」他強調:「就安全反應而言,不完整的安全更新,若是效果差或反倒提醒惡意駭客注意新漏洞,恐怕比全無修補程式還糟。」
微軟建議使用者查閱該公司的安全瀏覽指南,並且把網際網路安全性設定為「高」級。微軟另鼓勵民眾繼續安裝SP2以使用自動安全更新功能。
Secunia也提供線上偵測服務,讓使用者在線上測試自己的電腦是否容易受「駭」。(唐慧文)
http://taiwan.cnet.co...ftware/0,2000064574,20095552,00.htm