微軟周三(12/22)發表一安全公告,指出IE瀏覽器含有一嚴重的漏洞,可導致遠端程式攻擊。
資安業者VUPEN Security早在本月上旬就揭露該漏洞,而微軟則在該針對該漏洞的攻擊程式公開後決定發表安全公告,提出降低遭受攻擊的建議。
根據VUPEN Security的說明,當IE處理網頁上含有各種@import規則的CSS檔案時,mshtml.dll程式庫會出現使用釋放後記憶體(use-after-free)錯誤的問題,駭客可打造一特製的網頁觸發該漏洞而執行任意程式。此問題影響了Windows XP、Windows Vista及Windows 7上的IE 6、IE 7與IE 8等瀏覽器版本。
微軟則描述了可能的攻擊途徑,包括駭客可架設一個用來攻擊該漏洞的網站,或是危害合法網站,或是在允許使用者上傳內容或張貼廣告的網站上嵌入特製內容,雖然駭客無法逼迫使用者造訪相關網站,但可使用誘導的方式,像是讓使用者點選郵件或即時訊息中的連結。
迄今微軟仍未接獲該漏洞的攻擊報告,目前亦未有緊急更新該漏洞的計畫,但提出了暫時防範攻擊的建議。
微軟建議使用者在Windows Vista及Windows 7的IE中啟用保護模式(Protected Mode),此外,由於相關攻擊可讓駭客取得使用者權限,因此微軟亦建議使用者設定較低的權限,以及呼籲使用者不要點選來路不明的連結。(編譯/陳曉莉)
熱門新聞
2025-02-05
2025-01-31
2025-01-30
2025-02-03
2025-02-03
2025-02-03
Advertisement