IE又有零時差攻擊　安全研究員建議改用其他瀏覽器

IE近日又出現零時差攻擊，在研究人員揭露之後，微軟旋即發出安全通告，並建議使用者安裝EMET工具，修改IE瀏覽器的Active X與Active Scripting設定。研究人員則建議，暫時改用Chrome或Firefox等其他瀏覽器。

資安公司Rapid7的漏洞研究人員sinn3r日前在Metasploit 部落格上指出，包括IE 7、IE 8，及IE 9等瀏覽器都發現了新的零時差漏洞攻擊，受影響的作業系統平台包括了Windows XP、Vista、7等版本。唯一幸免的只有將於10月26日上市的Windows 8及IE 10。

Rapid7表示，在文章揭露之前就已經出現了漏洞攻擊的案例，IE使用者只要連上含有惡意程式的網站，駭客就可以取得與使用者相同的PC權限，建議在微軟釋出安全更新之前，使用者改用Chrome、Firefox等其他的瀏覽器。同時Rapid7也透過Metasploit釋出了攻擊模組，提供安全社群測試自己的系統是否受到該漏洞的影響，並藉以開發相對應的防護方法。

根據StatCounter的數字，這些版本的IE使用者在全球約占41%，而Net Applications的數字則是在44%以上（IE 8與IE9就已達44%）。換句話說，該漏洞影響了至少四成以上的使用者。

微軟旋即發布了2757760安全通告，承認目前已有針對IE的零時差攻擊出現，微軟並公布臨時的解決方法。微軟表示，包括IE 9及較舊的一些版本的使用者，若瀏覽含有惡意程式的網站就會受到影響。2757760安全通告可協助使用者解決該問題。至於IE 10的使用者並不會受到影響。

微軟表示，目前只收到少量的目標式攻擊報告，並正著手開發安全更新以解決該問題。在此之前，使用者可依臨時的解決方式以避免受到攻擊。微軟建議使用者可安裝EMET（Enhanced Mitigation Experience Toolkit）工具，該工具可避免使用者電腦遭受漏洞攻擊。其次則是將瀏覽器中的網際網路及區域網路的安全區設定為「高」等級，並在該區裡設定為阻擋ActiveX控制及Active Scripting。

最後則是修改IE的安全設定，讓它在執行Active Scripting之前必需跳出提示，或者直接禁止Active Scripting的執行。微軟表示，更改這些安全設定可能會讓上網較為不方便，建議可以把信任的網站加入「信任的網站」名單之中，以減少瀏覽被中斷的不便。（編譯/郭和杰）