IE漏洞攻擊程式被公布　微軟證實為高風險

中國的安全研究人員近日公布了針對微軟IE瀏覽器新漏洞的攻擊程式碼，該攻擊程式很容易就能被改寫，而且不需使用者的任何互動。微軟也將該漏洞列為高風險的未修補漏洞名單中。

微軟安全回應中心（Microsoft Security Response Center，MSRC）發言人表示，該公司正在調查此一新漏洞，並且將其加入尚未修補的高風險漏洞名單中。

該漏洞為一COM Object的堆積溢位問題，確定會影響在Windows XP SP2及Windows Server 2000 SP4上執行的IE 6.0中文版，駭客可以透過「路過式」（drive-by）攻擊，在使用者的電腦上下載木馬程式、僵屍病毒或其他的惡意程式。

漏洞攻擊預防實驗室（ Exploit Prevention Labs）技術長Roger Thompson指出，他試著透過這些程式模擬攻擊，此一攻擊程式可以用來破壞完整更新的瀏覽器，而且稍加修改就能用來進行目標攻擊。

不過，Roger Thompson也說，該漏洞看起來並不會是一個巨大的威脅。

最近微軟的IE產品團隊似乎有點忙碌，該團隊在今年8月發表的IE修補程式中被發現藏了兩個安全漏洞，使得微軟針對同一個安全通報總計推出了三次更新服務。

根據資安業者Secunia所進行的漏洞統計，今年被發現的IE漏洞中，大概有3成處於未修補狀態。同時，今年所有被提報的IE漏洞中，約有6成被列為非常重大（highly critical or extremely critical）等級。而今年微軟所發表的4個針對IE的安全通報則皆列為「重大」（critical）等級。（編譯/陳曉莉）