【聯合晚報╱編譯蔡致仁╱綜合報導】
近日傳出微軟Internet Explorer有重大安全漏洞,並已出現零時差 (zero-day)攻擊。美國國土安全部所屬的電腦緊急應變中心(US-CERT)警告電腦用戶,不要用IE。微軟表示,這個漏洞遍布於IE6到IE11,在全球桌上型電腦市占率高達55%。此為微軟從本月稍早停止更新XP作業系統後,旗下軟體首度爆發重大安全瑕疵。
US-CERT指出,IE傳出「Use After Free」漏洞,並已出現攻擊行為。該漏洞影響IE6到11版本,可能讓使用者系統遭到遠端執行程式碼攻擊。"Use After Free"漏洞是指,在記憶體釋出後參照記憶體,可能會導致程式當機。
國土安全部建議使用者改用其他瀏覽器,等待微軟解決問題。然而全球還有15%到25%的桌機使用無法再更新的XP系統,這批電腦無法免於駭客入侵的威脅。
國土安全部的「電腦緊急應變中心」28日早上發布警告稱,IE6到IE11的漏洞可能造成系統受感染而「全面癱瘓」。除了用別的瀏覽器,該團隊建議企業使用微軟的免費安全工具"EMET"防止攻擊。
「火眼」網路安全軟體公司 (FireEye)上周末發現IE有重大漏洞,並指出駭客已經積極利用漏洞攻擊一些美國公司,促使微軟火速修補。
微軟26日公布針對IE9到IE11的修復計畫,這些瀏覽器版本的市占率為26.25%。微軟指出,駭客可能透過漏洞完全控制受感染的電腦系統,然後植入惡意軟體、刪除資料、創立有完整使用權限的帳號。
Seculert網路安全公司科技長拉夫建議,由於無法接收任何更新,微軟XP系統使用者應該改用Windows 7或者Windows 8,避免受害。
火眼公司表示,一批老練的駭客早已利用這個漏洞發動行動,還取名為「秘密狐狸任務」,但該公司拒絕透露駭客或受入侵者的身分,僅表示仍在調查。公司發言人索沙透過電郵表示,「目前入侵行動看來針對美國的國防與金融企業。攻擊團體動機不明,似乎是在大規模蒐集情資」。
全文網址
[外電消息] 傳IE有游標追蹤漏洞 微軟調查中
根據報導,多個Internet Explorer (IE)瀏覽器版本都有個會追蹤用戶滑鼠游標的安全漏洞,而且只要開啟帶有這類惡意廣告的網頁,即使用戶沒有在瀏覽器視窗中進行任何作業,滑鼠游標也會被追蹤。微軟目前也針對這個漏洞進行調查。
根據一份由資訊安全公司spider.io所發布的研究報告,它數個月前便發現了這個會影響IE 6.0以上版本瀏覽器的安全漏洞。它表示,有心人士可以透過網頁廣告的購買,在用戶到訪該頁面時,對用戶追蹤游標的使用。而且用戶只要打開IE瀏覽器,即便將視窗縮成最小或讓它在背景作業,用戶以滑鼠游標在螢幕上所進行的動作都會被記錄下來,這會對以虛擬鍵盤或虛擬數字鍵盤來輸入密碼或撥打電話等的隱私安全性造成威脅。而且已這個安全漏洞經被至少兩家廣告分析公司所利用。
spider.io資安公司也表示,它已在十月一日通知微軟,但微軟似乎認為這問題並不急迫,沒有快速釋出修補程式的計畫。cnet網站則報導,微軟似乎認為這問題比較屬於廣告分析公司間的競爭,而與用戶隱私或網路安全比較無關,但目前也在著手調查此事。
沒有留言:
張貼留言