我不當大陸黑客的跳板

Google退出中國的戲碼還沒演完，矛頭已經從男女主角被指向了IE的漏洞，全世界都在等微軟釋出更新程式，還好他們也很爭氣，今天早上我們查看安全佈告的時候，發現修補程式已經完全上線了。

前情提要

日前Google停止配合中國政府過濾搜尋內容，原因是他們遭到一連串精密的駭客攻擊，該攻擊從中國發出、而且特別針對中國人權份子的Gmail信箱而來。Google發現不只有他們，至少有其他20家大型企業也遭遇相同的狀況，目前全案協同美國政府調查當中。

接著McAfee的CTO發表了，說他們研究發現這一連串攻擊是針對微軟IE瀏覽器漏洞的「zero day attack」，接著媒體鄉民們當然就紛紛追打並拒用IE瀏覽器了。

只有IE 6確定受害

身為IE「非愛用者」的筆者當然也有點開心，不過也另一些人開始分析，應該要更精確的指明Windows XP上的IE 6才是目前已知的受害者，況且我們並不在20大企業上班，駭客不會閒著無聊攻擊平凡老百姓。

這些評論應該是從微軟TechNet部落格下的引申而來的，文中也簡單解釋了這個代號「極光」行動（Operation Aurora）的駭客手法。撇開政治商業的紛紛擾擾，趁著這次機會長點知識才是最實際的。

▲微軟TechNet部落格表列了實際受影響的瀏覽器，其實只有Windows 2000和XP的IE 6。

完全看懂零日攻擊

所謂的zero day attack（零日攻擊），就是利用還沒有人發現的軟體漏洞所進行的攻擊行為。當漏洞被發現之後，軟體公司和駭客之間就像在比賽一樣，公司趕著釋出修補程式，而駭客搶在空檔期間進行攻擊行動。因為攻擊是從漏洞被發現的第「0」天展開，所以統稱為零日攻擊。

其實在調查行動的一開始，也有人懷疑駭客是針對Adobe Reader的漏洞進行零日攻擊。現在許多網站都依靠Flash等外掛程式呈現，所以即使各大瀏覽器修補漏洞的速度再快，仍有可能經由外掛的臭蟲受到入侵。

在TechNet的文章中解釋，駭客是利用JavaScript複製、釋放特定DOM元件的記憶體，接著經由隨機執行閒置記憶體來置入攻擊程式。所以，先前有人說把IE的安全性設到最高就沒事了，其實Server版的Windows作業系統就是這麼幹，實際上就是禁用JavaScript的意思，當然駭客沒得玩了，你也幾乎沒什麼網頁可以看了。

為什麼只打IE 6？

至於為什麼有些版本與系統的IE不受影響，應該是說，JavaScript的漏洞還是存在，只是DEP（資料執行防止，哪門子的翻譯）和保護模式（protected mode）發揮作用，讓駭客無法取得主控權。所以啦，雖然這次的漏洞修補程式已經發佈了，升級新系統和瀏覽器才是治本之道。

預設啟用DEP的版本只有Windows XP SP3底下的IE 8、以及Vista SP1和Windows 7。DEP禁止非標示為程式區塊的記憶體被執行，所以才叫「Data Execution Prevention」（資料區塊不會被執行）。而保護模式則是從Vista的預設瀏覽器IE 7開始引進的功能，Vista設定了6種安全層級（integrity level），IE所處的保模式只有低安全層級（low），因此不能修改或刪除預設為中（medium）甚至更高層級的檔案與程式。

▲從Windows XP SP2開始內建DEP功能，但不是每個版本的IE都會啟用。

其實微軟比你想得勤快

另外，雖然大家喜歡取笑微軟反應遲鈍，漏洞百出，實際上在調查結果釋出後，他們就馬上發佈了「」這篇安全建議，以及剛剛我們引用的部落格文章，差不多在6天以後的現在釋出更新檔，比例行的2月9日早了好幾個禮拜。

至於打死不換瀏覽器的「IE 6死忠用戶」是怎麼搞的呢？仔細想想，如果你不換Vista也不升Windows 7，Windows XP預設瀏覽器就是IE 6，微軟在去年底才隨著Windows 7釋出SP3更新包，裡面還是沒有IE 7，想升級的人得自己動手來。對於沒有技術或時間自製整合光碟的一般使用者來說，裝好的XP就是IE 6，甚至連身經百戰的T客邦編輯，也可能名列其中。

是的，雖然大陸極光行動應該打不到你，為了謹慎起見，換用有更多保護機制的IE或其他瀏覽器會更好。再不然，至少把這個剛出爐的「」修補程式「打上」吧，IE 6以外的系統也能裝喔。

▲KB978207修補程式已經送上Windows Update了，正版用戶只要檢查一下就能更新。

▲如果因為神祕原因不能用線上更新，到微軟網站就可以下載獨立更新程式。

▲雖然這次的漏洞補上了，最好還是升級到IE 8取得更高的安全性。

▲如果真的什麼都不想做，TechNet文章底下也有快速啟用DEP的「Fix it」連結。

▲微軟在Windows 7底下提供的虛擬XP，雖然已經是SP3，很不幸它還是用IE 6。