2014年5月1日 星期四

你今天IE了嗎? IE爆「Zero Day」安全漏洞

你今天IE了嗎? IE爆「Zero Day」安全漏洞

日前,網路安全公司FireEye指出,駭客策動代號「秘密狐狸行動」利用Microsoft IE漏洞發動攻擊,主要目標為IE9至IE11,並鎖定美國金融與國防業者,目前已有多家美國企業網站受到影響。此為Microsoft停止更新XP作業系統後,首度爆發的重大安全瑕疵,美國與英國資安當局更罕見聯手警告民眾暫時停用IE。

FireEye發言人Victor De Souza表示,此攻擊行動瞄準美國金融與國防業者,大規模蒐集情資,但目前仍未清楚攻擊動機。此攻擊行動透過建立特定網站,誘使IE使用者開啟連結,幫助駭客入侵,系統一旦受控制後,駭客即可安裝惡意程式、刪除或存取記憶體內容,甚至利用使用者資訊開設新帳戶。

此外,美國國家安全部電腦緊急應變小組(US-CRET)指出,IE「Use After Free」漏洞,會影響IE6至IE11版本,使用者系統會遭遠端執行程式碼入侵,導致系統全面癱瘓,因此,其建議使用Microsoft EMET安全工具防止攻擊,甚而與英國資安當局同聲希冀民眾在Microsoft解決問題前,先使用其他瀏覽器。

Microsoft承認,若駭客利用漏洞入侵系統,將掌握與使用者相同的使用權限。針對此一安全漏洞,Microsoft表示,會為各作業系統釋出更新軟體,但其甫於本月初宣布終止支援Windows XP系統,因此該系統使用者無法取得更新版,意味著其系統安全受到威脅,為此Microsoft也建議使用者盡快升級,避免受害。

延伸閱讀:
XP危機有救,微軟破例修補XP版IE漏洞

轉載自《電子商務時報》