IE安全威胁升到最高点
在网路公布骇客范本程式之后,资安公司警告,Internet Explorer浏览器三个尚未有修补程式的安全漏洞已变得极其危险。
Secunia周五(7日)把这三个安全漏洞的警戒层级提升到「极为危急」,是该公司最高等级。Secunia技术长Thomas Kristensen说,这三个漏洞影响IE第六版,可能让骇客把间谍程式、色情电话拨号器等程式偷偷植入别人的电脑,再加以执行,受害者可能浑然不知。
其中一项漏洞出在HTML说明档的控制上,12月21日GreyHats Security Group就把示范如何利用此漏洞的范本程式公告在网路上。
「我们把漏洞提升到极为危急等级的先决条件,是外头必须有可用的范本程式,而且是不需要使用者手动的程式,」Kristensen说:「这是本公司最高的警戒层级,也是最后一次提醒使用者亡羊补牢。」
Secunia说,此范本程式可用来攻击使用Windows XP作业系统的电脑,即便已安装SP2安全更新组件,也会受影响。该公司建议民众,在微软发布解决问题的修补程式之前,最好先解除IE的Active X支援,以防万一。
Secunia也建议使用者改用别的浏览器产品。
Secunia也在安全通告中警告,另一项HTML说明控制的漏洞,一旦与拖曳的漏洞结合,可能被骇客利用来攻击个人电脑,尽管那需要受害者合作才行。该公司早在去年10月就首度发布这三大安全漏洞的警示讯息。
「微软早在10月就已获知此事,」Kristensen说:「依我之见,拖了两个月之久,特别是在外头已把漏洞钜细靡遗地公诸于世之后,竟然还未发布可用的修补程式,实在说不过去。」
微软则表示,正在研究已公诸于世的范本报告,并解释IE修补程式迟迟未发布,是因为制作有效的修补程式需要浩大的工程。
微软一名发言人说:「安全回应需要在时机与测试之间取得平衡,而微软只会在设计妥当并尽可能彻底测试过之后,才会发布程式更新。那可能耗时一天、一周、一个月或更久。」他强调:「就安全反应而言,不完整的安全更新,若是效果差或反倒提醒恶意骇客注意新漏洞,恐怕比全无修补程式还糟。」
微软建议使用者查阅该公司的安全浏览指南,并且把网际网路安全性设定为「高」级。微软另鼓励民众继续安装SP2以使用自动安全更新功能。
Secunia也提供线上侦测服务,让使用者在线上测试自己的电脑是否容易受「骇」。(唐慧文)
http://taiwan.cnet.co...ftware/0,2000064574,20095552,00.htm
