相關文章

1d78feafda7ad8dce6283099275e433708cc2e05 Google退出中國市場,導火線之一是疑似遭受駭客的高精密度攻擊。此舉竟然引發連鎖反應,McAfee披露駭客是利用微軟IE瀏覽器的漏洞進行攻擊,IE6、IE7、IE8都有著相同的漏洞。微軟也坦承確實有漏洞,目前只能藉由提高安全層級設定來防範,於是德國聯邦資安辦公室直接發出公告,警告國人先別使用微軟IE瀏覽器!

Google退出中國市場意外揪出微軟IE漏洞

故事有點長,讓我們慢慢說起。上禮拜Google丟出要退出中國市場的震撼彈,陸續引發了連鎖反應,八卦之多宛如八點檔連續劇般的精采,我們也報導過Google將停止配合中國管制搜尋結果。從Google官方部落格發表的《A new approach to China》文章中,先撇開大家將焦點著重在Google不願意配合過濾搜尋結果的政治因素,Google提到它們的使用者經常受到程度不等的網路攻擊(指中國人權運動份子的使用者帳號),這些Gmail帳號被入侵並非是Google伺服器遭到破解,而是受害者電腦被值入惡意程式或遭釣魚詐騙。

IE_SUCK_01

▲McAfee公佈調查結果,將矛頭直指微軟IE瀏覽器。

事隔沒多久,美國第二大網絡安全廠商McAfee發表了調查結果,表示駭客是利用微軟IE瀏覽器的漏洞進行攻擊,詳情請見McAfee部落格文章《Operation “Aurora” Hit Google, Others》。這項被稱做極光行動(Operation Aurora)的駭客方式,是誘使這些攻擊目標的電腦使用者點擊一個網址,接著惡意軟體就會神不知鬼不覺下載到該使用者的個人電腦中,讓駭客在使用者不知情的情況下控制個人電腦,恩……聽起來像極了許多人電腦被入侵的那套老方式。自上周末開始,McAfee就收到許多企業單位委託並對此進行研究,不過因為雙方簽署了保密協議,無法說出哪些公司聘請McAfee調查。

McAfee指出駭客是針對微軟IE瀏覽器進行攻擊,包含古董級的IE6、IE 7、以及新的IE 8都無一倖免。根據路透社《Attack on Google exploited Microsoft browser flaw | Reuters》報導指出,微軟也在隨後坦承Google在中國所受到的網路攻擊乃是根源於IE的漏洞,更慘的是微軟目前尚未針對IE瀏覽器的漏洞進行修補,他們提出的解決方法是:

The world’s largest software company said using Internet Explorer in “protected mode” with security settings at “high” would limit the impact of the vulnerability.

答案是請將IE瀏覽器的「安全層級設定(protected mode)」提高到「高(high)」這種老掉牙的方式。此舉只是讓許多網頁無法開啟、避免使用者去點擊,但對於既有的漏洞並沒有進行實質的修補動作,無法徹底解決問題的根源。

微軟CEO史蒂夫鮑爾默在接受媒體採訪時則表示:

We need to take all cyber attacks, not just this one, seriously,” said Microsoft Chief Executive Steve Ballmer in an interview on CNBC. “We have a whole team of people that responds in very real time to any report that it may have something to do with our software, which we don’t know yet.

簡單翻譯如下:我們需要認真調查所有的網絡攻擊,而不僅單一的一起事件。我們有整組的工作團隊,會對任何可能與我們的軟體有關、但我們尚未知情的報告作出最即時的反應。這個回答應該讓滿多人無法認同,不僅回答相當敷衍了事,對於IE漏洞更是隻字未提。

IE_SUCK_02

▲德國聯邦資安辦公室警告使用者暫時不要用IE瀏覽器。

好戲來了,德國聯邦資安辦公室在得到微軟確認Google網路攻擊事件根源於IE漏洞一事之後,即公開警告IE瀏覽器的使用者暫時停止使用IE,以其他更安全的瀏覽器替代使用,保護個人資訊安全,詳情請見德國聯邦資安辦公室網頁、英國BBC的報導《German government warns against using MS Explorer》。雖然微軟反駁德國政府的警告,並且再拿出一次「只要將IE瀏覽器提高安全層級設定,就能保障使用者資訊安全」的那套說法。不過德國聯邦資安辦公室回應說,IE瀏覽器以「安全層級設定」提升到「高」、關閉 Active Scripting的方式雖然讓攻擊較為困難,但依然無法確保IE瀏覽器是沒有風險的。

除了德國政府之外,法國電腦緊急狀況因應小組(CERT)也提出類似的資安報告,雖然目前只有IE6遭到攻擊,但IE7和IE8也都有相同漏洞,建議使用者換別的瀏覽器使用。看來待微軟將IE瀏覽器進行安全性更新前,還是少用IE瀏覽器為妙吧,換用FirefoxSafariChromeOpera四大陣營都好阿!

使用 Facebook 留言

53bdb12e48802ed5aa0ccbf1e8fff473?size=48&default=wavatar
1.  Toccata (發表於 2010年1月19日 12:46)
台灣一堆政府機構網站都是IE only不就...
118ed642d310bc813c5ce34d61285f49?size=48&default=wavatar
2.  wellss (發表於 2010年1月19日 13:44)
最好將IE全面封殺,這樣一堆教育網站、政府公家機關網站通通都要改版。
那個理由讓我很 ... 我偶而也用 IE 的說,因為有些網路 ATM 網站是 IE ONLY。
51c03241d511a2f83c2a1f9ced97030f?size=48&default=wavatar
3.  風 (發表於 2010年1月19日 14:06)
玉山銀行Web ATM要是跨行手續費調低一點

其他家應該不用玩了
Ffe1c7787b3454f442cd788e337f2242?size=48&default=wavatar
4.  elgoog (發表於 2010年1月19日 17:37)
上星期的新聞,T客邦有點慢喔~呵呵~

今天看到Mozilla Links說法國政府也發警告了,
有興趣可以看看:http://goo.gl/b724
Dba12b4e59c53f50e500e6d5706b84a4?size=48&default=wavatar
5.  阿中中 (發表於 2010年1月19日 17:54)
假如全部改用ubuntu不就好了
免錢又方便 現在玉山銀行也有支持firefox喔!
開心的用ubuntu中!
2c7ab4224a823e8e487a0540fa1c365c?size=48&default=wavatar
6.  Clement (發表於 2010年1月19日 21:38)
那你應該慶幸現在用Ubuntu的人還不夠多,當Ubuntu有一半的市占率以後,一定會發生Window+IE同樣的情形。
9e39f8bc6e295d0c86e1e64a0ca76ce0?size=48&default=wavatar
7.  water (發表於 2010年1月20日 13:07)
還好我早就放棄IE了
就是有些網銀不支援Firefox
自然人憑證也不得不用IE

所以還是要留下IE啊~~

跟同事推廣好久的Firefox都沒人想用
他們說不想換新東西
E14de1ef967b90613eff5d8e28bad1ec?size=48&default=wavatar
8.  凍仁 (發表於 2010年1月21日 20:51)
嗯,就算 Ubuntu + Firefox 或是 Opera, Chrome 的組合發生了 Window+IE 的事件,相信也會以第一時間解決這些弱點的,不會像在 Windows 上你幫他改好之後還會被告侵權,任意更改程式碼。
A71c0cca84e4f07e2577b8994606fc60?size=48&default=wavatar
9.  麥鼠 (發表於 2010年6月23日 12:27)
當時微軟決定開發IE真是個錯誤的抉擇,您看,就因為微軟太堅持IE,商譽變成什麼樣子!
另外也可知道,中華民國政府真是有夠混!改個網站有什麼好難的嗎?

自然人憑證、工商憑證。這種每個人(或每家企業)都有的東西(完全發布),設計成IE only根本就是圖利廠商。(圖利Microsoft)

Firefox應該盡力加速IE TAB的開發,我用自然人憑證,安裝了IE TAB以後,仍然不見成效。

某些怪人就一直死守IE不放。像教我的英文教師,她的電腦被強制(偷偷)更新成IE8、被朋友安裝Firefox(若是我,我會非常慶幸,免費的安裝有何不好),竟然要我幫她把這些東西移除....還說Firefox是什麼有的沒的......

於是後來我就跟她斷交了!(不認他為老師)

就是那種xx(ㄈㄟˋ ㄨˋ),讓我們今天還要忍受IE,如果剩下的四大陣營使用率各是25%,那今天就不會有這種問題了!

發表回應

謹慎發言,尊重彼此。按此展開留言規則