Google退出中國市場,導火線之一是疑似遭受駭客的高精密度攻擊。此舉竟然引發連鎖反應,McAfee披露駭客是利用微軟IE瀏覽器的漏洞進行攻擊,IE6、IE7、IE8都有著相同的漏洞。微軟也坦承確實有漏洞,目前只能藉由提高安全層級設定來防範,於是德國聯邦資安辦公室直接發出公告,警告國人先別使用微軟IE瀏覽器!
Google退出中國市場意外揪出微軟IE漏洞
故事有點長,讓我們慢慢說起。上禮拜Google丟出要退出中國市場的震撼彈,陸續引發了連鎖反應,八卦之多宛如八點檔連續劇般的精采,我們也報導過Google將停止配合中國管制搜尋結果。從Google官方部落格發表的《A new approach to China》文章中,先撇開大家將焦點著重在Google不願意配合過濾搜尋結果的政治因素,Google提到它們的使用者經常受到程度不等的網路攻擊(指中國人權運動份子的使用者帳號),這些Gmail帳號被入侵並非是Google伺服器遭到破解,而是受害者電腦被值入惡意程式或遭釣魚詐騙。
▲McAfee公佈調查結果,將矛頭直指微軟IE瀏覽器。
事隔沒多久,美國第二大網絡安全廠商McAfee發表了調查結果,表示駭客是利用微軟IE瀏覽器的漏洞進行攻擊,詳情請見McAfee部落格文章《Operation “Aurora” Hit Google, Others》。這項被稱做極光行動(Operation Aurora)的駭客方式,是誘使這些攻擊目標的電腦使用者點擊一個網址,接著惡意軟體就會神不知鬼不覺下載到該使用者的個人電腦中,讓駭客在使用者不知情的情況下控制個人電腦,恩……聽起來像極了許多人電腦被入侵的那套老方式。自上周末開始,McAfee就收到許多企業單位委託並對此進行研究,不過因為雙方簽署了保密協議,無法說出哪些公司聘請McAfee調查。
McAfee指出駭客是針對微軟IE瀏覽器進行攻擊,包含古董級的IE6、IE 7、以及新的IE 8都無一倖免。根據路透社《Attack on Google exploited Microsoft browser flaw | Reuters》報導指出,微軟也在隨後坦承Google在中國所受到的網路攻擊乃是根源於IE的漏洞,更慘的是微軟目前尚未針對IE瀏覽器的漏洞進行修補,他們提出的解決方法是:
The world’s largest software company said using Internet Explorer in “protected mode” with security settings at “high” would limit the impact of the vulnerability.
答案是請將IE瀏覽器的「安全層級設定(protected mode)」提高到「高(high)」這種老掉牙的方式。此舉只是讓許多網頁無法開啟、避免使用者去點擊,但對於既有的漏洞並沒有進行實質的修補動作,無法徹底解決問題的根源。
微軟CEO史蒂夫鮑爾默在接受媒體採訪時則表示:
We need to take all cyber attacks, not just this one, seriously,” said Microsoft Chief Executive Steve Ballmer in an interview on CNBC. “We have a whole team of people that responds in very real time to any report that it may have something to do with our software, which we don’t know yet.
簡單翻譯如下:我們需要認真調查所有的網絡攻擊,而不僅單一的一起事件。我們有整組的工作團隊,會對任何可能與我們的軟體有關、但我們尚未知情的報告作出最即時的反應。這個回答應該讓滿多人無法認同,不僅回答相當敷衍了事,對於IE漏洞更是隻字未提。
▲德國聯邦資安辦公室警告使用者暫時不要用IE瀏覽器。
好戲來了,德國聯邦資安辦公室在得到微軟確認Google網路攻擊事件根源於IE漏洞一事之後,即公開警告IE瀏覽器的使用者暫時停止使用IE,以其他更安全的瀏覽器替代使用,保護個人資訊安全,詳情請見德國聯邦資安辦公室網頁、英國BBC的報導《German government warns against using MS Explorer》。雖然微軟反駁德國政府的警告,並且再拿出一次「只要將IE瀏覽器提高安全層級設定,就能保障使用者資訊安全」的那套說法。不過德國聯邦資安辦公室回應說,IE瀏覽器以「安全層級設定」提升到「高」、關閉 Active Scripting的方式雖然讓攻擊較為困難,但依然無法確保IE瀏覽器是沒有風險的。
除了德國政府之外,法國電腦緊急狀況因應小組(CERT)也提出類似的資安報告,雖然目前只有IE6遭到攻擊,但IE7和IE8也都有相同漏洞,建議使用者換別的瀏覽器使用。看來待微軟將IE瀏覽器進行安全性更新前,還是少用IE瀏覽器為妙吧,換用Firefox、Safari、Chrome、Opera四大陣營都好阿!
那個理由讓我很 ... 我偶而也用 IE 的說,因為有些網路 ATM 網站是 IE ONLY。
其他家應該不用玩了
今天看到Mozilla Links說法國政府也發警告了,
有興趣可以看看:http://goo.gl/b724
免錢又方便 現在玉山銀行也有支持firefox喔!
開心的用ubuntu中!
就是有些網銀不支援Firefox
自然人憑證也不得不用IE
所以還是要留下IE啊~~
跟同事推廣好久的Firefox都沒人想用
他們說不想換新東西
另外也可知道,中華民國政府真是有夠混!改個網站有什麼好難的嗎?
自然人憑證、工商憑證。這種每個人(或每家企業)都有的東西(完全發布),設計成IE only根本就是圖利廠商。(圖利Microsoft)
Firefox應該盡力加速IE TAB的開發,我用自然人憑證,安裝了IE TAB以後,仍然不見成效。
某些怪人就一直死守IE不放。像教我的英文教師,她的電腦被強制(偷偷)更新成IE8、被朋友安裝Firefox(若是我,我會非常慶幸,免費的安裝有何不好),竟然要我幫她把這些東西移除....還說Firefox是什麼有的沒的......
於是後來我就跟她斷交了!(不認他為老師)
就是那種xx(ㄈㄟˋ ㄨˋ),讓我們今天還要忍受IE,如果剩下的四大陣營使用率各是25%,那今天就不會有這種問題了!