2014年5月25日 星期日

IE 8 出現 7個月未修補的漏洞!

IE 8 出現 7個月未修補的漏洞!


TippingPoint 旗下的「零時差計畫」公布了一個IE8漏洞,此一允許遠端攻擊的漏洞早在去年10月就提交給微軟,但遲遲未被修補,使得ZDI依據其揭露政策公開了該漏洞。由於IE 8是已經退役的 Windows XP所能安裝的最高IE版本,因此XP使用者受到的可能影響將會最大。

TippingPoint旗下的「零時差計畫」(Zero Day Initiative, ZDI)本周三(5/21)公布了一個IE8漏洞,此一允許遠端攻擊的微軟瀏覽器漏洞早在去年10月就提交給微軟,但遲遲未被修補,使得ZDI依據其揭露政策於本周公開了該漏洞。

ZDI為一鼓勵研究人員提交漏洞的獎勵計畫,當研究人員發現軟體漏洞時,ZDI會給予獎金,然後將漏洞提交給軟體製造商,並會在180天後公布漏洞細節。ZDI表示,他們在去年10月把漏洞資訊提交給微軟,微軟於今年2月證實了此漏洞,在今年4月屆滿180天後,ZDI即通知微軟,並於本周公布漏洞。

根據該漏洞的說明,當使用者以IE8造訪惡意網站或開啟惡意檔案時,駭客便有機會攻擊該漏洞,於遠端執行任意程式。雖然IE版本已進展到IE11,但Net Applications的數據顯示,IE8是目前最受歡迎的IE版本,今年4月的市佔率為20.85%,比IE 11的16.61%與IE9的8.89%還高。

IE8也是已退役的XP作業系統所能使用的最高IE版本。自IE 9之後就不支援XP,換句話說,XP電腦若安裝的是IE 8,並無法再往上升級更新的IE版本。反觀Vista及Windows 7等PC可能也安裝IE 8,但都有更高的IE版本可以升級。

微軟回應了媒體的詢問,表示他們知道ZDI要公布IE8的漏洞,但迄今尚未發現任何客戶受到該漏洞的影響;微軟儘可能全面測試每一個安全修補程式,有些修補程式較為複雜,必須在不同的程式、應用與配置下進行測試,微軟仍在努力解決此一問題,會在適當的時機釋出更新。另一方面,微軟仍然鼓勵使用者升級作業系統與IE版本。

對於外界批評微軟忽視此漏洞,發現該漏洞的安全研究人員Peter Van Eeckhoutte則替微軟緩頰,認為180天雖然是修補大多數漏洞的合理時程,但他不相信微軟沒有修補是因忽視或不在乎安全,只是也只有微軟自己知道原因。

轉載自《iThome》