微软Internet Explorer(IE)近日传出重大安全漏洞,影响範围涵盖IE6到IE11版本的浏览器,骇客可以掌握跟现有使用者相同的使用者权限,并利用此来控制用户的电脑,也意味将影响到微软本月稍早已停止支援安全性更新的作业系统Windows XP用户。目前可能使得用户整个电脑系统暴露在骇客的零时差恶意软体攻击下,国土安全部所属电脑紧急应变中心US-CERT建议在微软解决问题之前,先使用其他浏览器。
「Zero Day」的攻击模式「Zero Day」是一个远端程式码执行漏洞,骇客能让目标电脑执行(特定)软体,由于该漏洞隐藏度极高,不会给潜在受害者留下任何收到警告的时间,因此而有该命名。
Microsoft指出:「该漏洞会使记忆体崩溃,并让攻击者能在使用者当前使用的IE浏览器中执行任意程式码。」,漏洞源自Flash,某些情境下攻击者会建立一个特定网站来帮助「Zero Day」入侵,并会诱使IE使用者点击该网站的连结。因此,如果使用IE浏览器时,收到某些附带网页连结的可疑的电子邮件时,就要加倍小心了。
停用IE浏览器及Flash外挂程式资安公司FireEye率先披露IE的安全疏失,并宣称已有部分企业受害。全球已有56%的浏览器受到影响,IE 9、10及11的浏览器版本中,允许骇客透过Flash软体的技术漏洞来袭击的金融及国防组织。
虽然Microsoft表示,IE10和IE11会预设启动强化保护模式,这有助于使用者避免遭受该漏洞侵害。FireEye建议用户最安全的保护方式,是儘快改用其他浏览器并停用IE的Flash外挂程式,或是使用安装有微软EMET (Enhanced Mitigation Experience Toolkit)安全防御应用程式的IE。
Photo Credit: Jeff Wilcox CC BY 2.0
微软已停止支援Windows XP根据路透社和金融时报报导,微软将推出安全性更新、修补漏洞;不过微软本月初停止支援Windows XP系统,不会提供XP的安全修补,XP用户的安全性将无法受到保障。因此,电脑紧急应变中心US-CERT建议使用者立刻採取防範措施,并使用微软建议及Windows XP相容的保护防御工具套件。
微软指出:「这次调查一完成,微软便将採取适当行动保护我们的客户,作法可能包含依客户需求,透过我们每月安全性更新发布程序提供解决方案,或是一次周期外安全性更新。