IE6、IE7、IE8 出現零日攻擊安全漏洞,微軟己確認,修補程式趕工中

IE6、IE7、IE8 出現零日攻擊安全漏洞,微軟己確認,修補程式趕工中

微軟在週六証實,存在於 IE6、IE7、IE8 裡面的安全漏洞,會引發零日 (zero day) 攻擊,讓受害者的電腦被綁架,執行任何攻擊者想要執行的程式碼。如果你是 Windows 7 的用戶,趕快升級到更安全的 IE9 吧!

在微軟的安全性摘要報告(2794220)中指出,他們正在調查 IE6、IE7、IE8 裡的安全漏洞,並且發現有目標性的攻擊要利用 IE8 漏洞來進行,當使用者瀏覽含有惡意程式的網站就會受到影響,不過 IE9、IE10 沒有這個問題。目前微軟正在全力趕工以推出修補程式。

微軟官方也對這樣的狀況進行了說明:

Internet Explorer 存取記憶體內已遭刪除或配置不當的物件的方式中,存在一個遠端執行程式碼的資訊安全風險。此資訊安全風險有損毀記憶體之虞,其結果將使攻擊者得以在 Internet Explorer 程式內,以目前使用者的權限等級執行任意程式碼。攻擊者可以針對這個經由 Internet Explorer 引起的資訊安全風險來設計並架設蓄意製作的網站,然後引誘使用者檢視該網站。

 

以下就是官方列出會受到影響的瀏覽器與作業系統組合:

IE6、IE7、IE8 出現零日攻擊安全漏洞,微軟己確認,修補程式趕工中

IE6、IE7、IE8 出現零日攻擊安全漏洞,微軟己確認,修補程式趕工中

所謂零日攻擊又稱為零時差攻擊,簡單來說,就是漏洞被官方發現或公開前進行的攻擊。在「漏洞發現」到「修補漏洞」中間會有一段空窗期,因為發現漏洞時,軟體公司得花一段時間來製作修補程式,但是通常「發現」這個漏洞的人就是黑客,所以修補程式發布前,攻擊程式可能已經準備好等待使用者上門。而且就算發布了修補程式,離使用者意識到危險並實際執行修補也還有一段時間,有的電腦也許早就被攻陷了。

IE 瀏覽器並非第一次出現零日攻擊安全漏洞,至少在9月的安全性摘要報告 (2757760)中也發現同樣的狀況。

在修補程式推出之前,微軟官方建議可以先安裝 EMET 安全工具,防止有心人士利用軟體漏洞進行攻擊。使用 EMET 的方法很簡單,下載安裝後,在 EMET 裡面把 IE 瀏覽器程式的路徑,例如「C:\Program Files (x86)\Internet Explorer\iexplore.exe」加入即可。

隨著上網的時間愈來愈多,許多人透過社群網站分享各種來源的文章,在通訊軟體裡也常會收到連結,因此連上不安全網站的機會大增。如果你還是非 IE 不用的話,趕快升級到 IE9 吧!但是 Windows XP 的用戶無法使用 IE9,在修補程式出來以前,可以先提高瀏覽器的安全等級,如果覺得麻煩的話,也可以暫時改用其他瀏覽器,以策安全。

資料來源:Security TechCenter

延伸閱讀:

Facebook CEO 隱私在 Twitter 上外洩?原來都是家人惹的禍!

Facebook Camera 出包,駭客可透過 Wi-Fi 入侵手機,綁架用戶帳號、密碼

Facebook 帳號被盜自救:搶回登入權限,變更安全密碼

Norton 2013年網路安全預測報告,勒索軟體、社群網站安全首當其衝

你認為你的手機安全嗎?

2012年最具代表性的13張新聞照片,你受到震撼了嗎?

從 Dropbox 資料被盜事件,看使用者 10 個自保方法,強化 PC 與帳號安全

LIS
作者

我是李一詩,目前在T客邦負責經營開發者社群。

使用 Facebook 留言
Cf2d5982cc30144144c6ef19098a7695?size=48&default=wavatar
8.  m3 (發表於 2013年1月02日 05:42)
>>>IE...不意外╮(╯_╰)╭

噴子就用力噴吧

這年頭也只有M$還在更新這些老軟體

chrome/firefox/safari太老舊的版本出漏洞!!!....抱歉!請換新版..我們不提供老舊版本的維護服務╮(╯_╰)╭
發表回應
謹慎發言,尊重彼此。按此展開留言規則