微軟上周發表安全通報(Security Advisory)2963983指出,從包含IE6~IE11在內的所有IE版本都含有一重大安全漏洞,已有駭客針對該漏洞進行目標式攻擊。

由於該漏洞涉及Windows XP所支援的IE6~IE8,而且微軟已在4月8日終止對XP所有的技術支援或安全更新,代表微軟不會再釋出IE for XP的安全更新,此一漏洞的曝光更讓XP的安全堪慮。

根據微軟的說明,這個漏洞存在於IE存取記憶體中未被妥善放置或已被刪除的物件,導致記憶體毀損並讓駭客有機可乘。駭客可打造一個惡意網站並吸引IE用戶造訪,藉由攻陷該漏洞執行遠端程式攻擊。目前微軟已發現少數針對該漏洞的目標式攻擊,並正在進行調查,會根據情況釋出修補程式。

該漏洞影響了所有Windows作業系統上所運作的IE,而且這又是微軟全面終止XP支援之後第一個出現攸關XP的安全漏洞,因而特別受到關注。賽門鐵克安全研究人員Christian_Tripputi表示,他們的內部測試發現,該漏洞的確會讓XP上的IE當掉,且因微軟不會再修補XP的相關漏洞而使得該漏洞對XP使用者來說更加嚴重。

不過,XP用戶尚有自保的方式,包括使用其他的瀏覽器,或是安裝微軟免費提供的Enhanced Mitigation Experience Toolkit(EMET)。EMET是一項安全工具,可讓駭客更難攻陷既有的軟體漏洞,微軟已證實EMET能夠協助降低駭客攻陷該漏洞的機會。微軟於去年12月釋出的EMET 4.1版仍支援XP與其他Windows平台。

IE6~IE11幾乎等於是市場上所有的IE版本,Net Applications的調查顯示,目前全球約有57.96%的IE用戶,意謂著這些使用者皆受到該漏洞的影響;此外,現階段全球的XP使用率亦仍高達27.69%。

在尚未修補前,微軟建議IE用戶部署EMET 4.1,或是把網際網路及區域網路的安全級別調高以封鎖ActiveX控制選項及Active Scripting。(編譯/陳曉莉)

熱門新聞

Advertisement