21f425a4f73908d9efefd23a5287d9f88ce5e61d Google退出中國的戲碼還沒演完,矛頭已經從男女主角被指向了IE的漏洞,全世界都在等微軟釋出更新程式,還好他們也很爭氣,今天早上我們查看安全佈告的時候,發現修補程式已經完全上線了。

前情提要

日前Google宣布停止配合中國政府過濾搜尋內容,原因是他們遭到一連串精密的駭客攻擊,該攻擊從中國發出、而且特別針對中國人權份子的Gmail信箱而來。Google發現不只有他們,至少有其他20家大型企業也遭遇相同的狀況,目前全案協同美國政府調查當中。

接著McAfee的CTO發表了部落格文章,說他們研究發現這一連串攻擊是針對微軟IE瀏覽器漏洞的「zero day attack」,接著媒體鄉民們當然就紛紛追打並拒用IE瀏覽器了。

只有IE 6確定受害

身為IE「非愛用者」的筆者當然也有點開心,不過也另一些人開始分析,應該要更精確的指明Windows XP上的IE 6才是目前已知的受害者,況且我們並不在20大企業上班,駭客不會閒著無聊攻擊平凡老百姓。

這些評論應該是從微軟TechNet部落格下的這篇文章引申而來的,文中也簡單解釋了這個代號「極光」行動(Operation Aurora)的駭客手法。撇開政治商業的紛紛擾擾,趁著這次機會長點知識才是最實際的。

ie6_exploit

▲微軟TechNet部落格表列了實際受影響的瀏覽器,其實只有Windows 2000和XP的IE 6。

完全看懂零日攻擊

所謂的zero day attack(零日攻擊),就是利用還沒有人發現的軟體漏洞所進行的攻擊行為。當漏洞被發現之後,軟體公司和駭客之間就像在比賽一樣,公司趕著釋出修補程式,而駭客搶在空檔期間進行攻擊行動。因為攻擊是從漏洞被發現的第「0」天展開,所以統稱為零日攻擊。

其實在調查行動的一開始,也有人懷疑駭客是針對Adobe Reader的漏洞進行零日攻擊。現在許多網站都依靠Flash等外掛程式呈現,所以即使各大瀏覽器修補漏洞的速度再快,仍有可能經由外掛的臭蟲受到入侵。

在TechNet的文章中解釋,駭客是利用JavaScript複製、釋放特定DOM元件的記憶體,接著經由隨機執行閒置記憶體來置入攻擊程式。所以,先前有人說把IE的安全性設到最高就沒事了,其實Server版的Windows作業系統就是這麼幹,實際上就是禁用JavaScript的意思,當然駭客沒得玩了,你也幾乎沒什麼網頁可以看了。

為什麼只打IE 6?

至於為什麼有些版本與系統的IE不受影響,應該是說,JavaScript的漏洞還是存在,只是DEP(資料執行防止,哪門子的翻譯)和保護模式(protected mode)發揮作用,讓駭客無法取得主控權。所以啦,雖然這次的漏洞修補程式已經發佈了,升級新系統和瀏覽器才是治本之道。

預設啟用DEP的版本只有Windows XP SP3底下的IE 8、以及Vista SP1和Windows 7。DEP禁止非標示為程式區塊的記憶體被執行,所以才叫「Data Execution Prevention」(資料區塊不會被執行)。而保護模式則是從Vista的預設瀏覽器IE 7開始引進的功能,Vista設定了6種安全層級(integrity level),IE所處的保模式只有低安全層級(low),因此不能修改或刪除預設為中(medium)甚至更高層級的檔案與程式。

dep000

▲從Windows XP SP2開始內建DEP功能,但不是每個版本的IE都會啟用。

其實微軟比你想得勤快

另外,雖然大家喜歡取笑微軟反應遲鈍,漏洞百出,實際上在調查結果釋出後,他們就馬上發佈了「Microsoft Security Advisory (979352)」這篇安全建議,以及剛剛我們引用的Assessing risk of IE 0day vulnerability部落格文章,差不多在6天以後的現在釋出更新檔,比例行的2月9日早了好幾個禮拜。

至於打死不換瀏覽器的「IE 6死忠用戶」是怎麼搞的呢?仔細想想,如果你不換Vista也不升Windows 7,Windows XP預設瀏覽器就是IE 6,微軟在去年底才隨著Windows 7釋出SP3更新包,裡面還是沒有IE 7,想升級的人得自己動手來。對於沒有技術或時間自製整合光碟的一般使用者來說,裝好的XP就是IE 6,甚至連身經百戰的T客邦編輯,也可能名列其中。

是的,雖然大陸極光行動應該打不到你,為了謹慎起見,換用有更多保護機制的IE或其他瀏覽器會更好。再不然,至少把這個剛出爐的「KB978207」修補程式「打上」吧,IE 6以外的系統也能裝喔。

dep11

▲KB978207修補程式已經送上Windows Update了,正版用戶只要檢查一下就能更新。

KB978207

▲如果因為神祕原因不能用線上更新,到微軟網站搜尋KB978207就可以下載獨立更新程式。

dep04

▲雖然這次的漏洞補上了,最好還是升級到IE 8取得更高的安全性。

dep01

▲如果真的什麼都不想做,TechNet文章底下也有快速啟用DEP的「Fix it」連結。

dep10

▲微軟在Windows 7底下提供的虛擬XP,雖然已經是SP3,很不幸它還是用IE 6。

使用 Facebook 留言

F99ffcf21c2ba3a4af5c448f8c30dbd7?size=48&default=wavatar
3.  小讀者 (發表於 2010年1月22日 19:55)
超神奇的

我剛看完這篇
馬上系統蘭就問我要不要更新XD
Ed6adbd809263027776c7ce261c7587d?size=48&default=wavatar
4.  RB (發表於 2010年1月22日 20:06)
補破網了,但是WIN2000的IE永遠只到6...(雖然這台幾乎不拿來開網頁而是做其他網路應用(謎
Bb5b80ab194a0265f903da961d5c893a?size=48&default=wavatar
5.  g568 (發表於 2010年1月23日 02:20)
剛剛查了一下家裡的IE(我本身用火狐和chrome,家人用IE)
版本還是6.0
趕快來升級8.0囉
13ef58f9480fe4ab4bfdf7d5109da21e?size=48&default=wavatar
6.  Jacob (發表於 2010年1月23日 08:56)
小疑問:
電腦裡有IE6但是只用其他瀏覽器會被駭?
還是用IE6連上網路會被駭?
118ed642d310bc813c5ce34d61285f49?size=48&default=wavatar
7.  wellss (發表於 2010年1月23日 09:26)
很好,更新修補了這才對嘛 (給微軟拍肩)
黑眼bobo
8.  黑眼bobo (發表於 2010年1月23日 10:30)
是IE 6會被駭,用IE 6連上駭客的陷阱網站,點選觸發漏洞的JavaScript才會被駭
Ffe1c7787b3454f442cd788e337f2242?size=48&default=wavatar
9.  jhangyu (發表於 2010年1月24日 14:31)
我把家裡公用電腦的Firefox設定為預設瀏覽器,再套上IE8的佈景主題,他們完全沒有感受到換了瀏覽器,哈~
F1807e3979aaa7d4a93cac3bc8a8a6c1?size=48&default=wavatar
10.  陳小白 (發表於 2010年1月30日 16:58)
Windows Update 太過於複雜,整體來說是個很差的設計

(尤其是對不常使用電腦的使用者而言。)

即使 Windows 已經出了好幾百個修正了,但還是會有些人的電腦,裝都不削裝,甚至覺得這支程式很煩。(有些人的反應很直接,看不懂,然後點右上方的叉叉關掉)

有興趣的人可以找人實驗看看
9a08ee3f24f1b904a13ddddb9bbf5bba?size=48&default=wavatar
11.  求知人 (發表於 2010年2月08日 20:21)
可憐的是應該不止ie6有問題吧 ie7 ie8 也有出現至某些網站會被變更網頁首頁內容(個人問題?)
更慘的是公家單位九成七都是使用ie6 且有修正的說實在的 也不能說達8成吧
修正後 公家系統不能正常使用反而是最糟糕的事

發表回應

謹慎發言,尊重彼此。按此展開留言規則