【聯合報╱編譯蔡致仁、張佑生/綜合報導】
微軟Internet Explorer瀏覽器傳出重大漏洞。美國國土安全部電腦緊急應變中心(US-CERT)發表緊急聲明,表示IE瀏覽器遭到零時差攻擊(zero-day attack),漏洞可能造成系統受感染而「全面癱瘓」,建議立即停用。
微軟表示,漏洞遍布IE第六版到第十一版。此為微軟本月稍早停止更新XP作業系統後,旗下軟體首度爆發重大安全瑕疵。
微軟預計下月中旬提供修補程式,但美國、英國和澳洲政府已建議用戶改用其他瀏覽器,並更新防毒軟體。
根據微軟說明,漏洞存在於IE存取記憶體中未被妥善放置或已被刪除的物件,導致記憶體毀損並讓駭客有機可乘。
駭客可以打造一個惡意網站並且吸引IE用戶造訪,藉由攻陷該漏洞執行遠端程式攻擊,可能導致當機。
漏洞會讓XP上的IE當掉,且因微軟不會再修補XP的相關漏洞,而使得該漏洞對XP使用者來說更加嚴重。全球還有百分之十五到廿五的桌上型電腦使用XP系統,風險最高。
網路安全軟體公司「火眼」上周末發現IE有重大漏洞,一批老練的駭客已利用這個漏洞發動行動,還取名為「秘密狐狸任務」(Operation Clandestine Fox)。該公司拒絕透露駭客或受入侵者的身分,僅表示仍在調查。
公司發言人索沙透過電郵表示,「目前入侵行動,看來是針對美國的國防與金融企業。攻擊團體動機不明,似乎是在大規模蒐集情資」。
XP用戶尚有自保的方式,包括使用其他的瀏覽器,或是安裝微軟免費提供的安全工具EMET,可降低駭客攻陷漏洞的風險。
微軟於去年十二月釋出的EMET 4.1版仍支援XP與其他Windows平台。
網路安全專家凱伊指出,雖然微軟可能大發慈悲,再修補XP一次,但用戶不該寄予厚望:「縱然微軟這次又拋出救生圈給XP用戶,撒手不管的一天終究會到來。」
|
via UDN數位資訊
沒有留言:
張貼留言