美國政府發出嚴重警告 XP使用者應立即停用IE瀏覽器

近日IE驚爆出現零時差漏洞，影響遍及XP所用的IE 6到Windows 8內建的IE 11版。這是XP支援終止後的第一個重大安全漏洞，因而受到高度關注，連美國政府都緊急呼籲XP使用者不要使用IE瀏覽器。微軟還未釋出修補程式，但也將不會提供XP更新。臺灣仍有400萬臺XP電腦，使用XP的企業也有9成未升級，都將面缺乏保護的高風險中。

確保XP使用者安全，美國政府呼籲XP使用者停用IE

根據微軟編號2963983資安通報的說明，這個IE漏洞編號為CVE-2014-1776，存在於IE存取記憶體中未被妥善放置或已被刪除的物件，導致記憶體毀損並讓駭客有機可乘。這是一個允許遠端執行程式代碼的漏洞，遠端取得該臺電腦的控制權。駭客可以打造一個惡意網站並吸引IE使用者訪問，透過觸發這樣的漏洞，進行惡意程式掛馬。

目前微軟已發現少數針對該漏洞的目標式攻擊，並正在進行調查，未來將根據情況釋出修補程式。

Team T5資安研究員蔡松廷表示，這次的IE漏洞主要是VML（向量標記語言）元件出問題，而呈現VML應用程式則是vgx.dll，直接停用vgx.dll可以降低IE漏洞對使用者帶來的風險。因為，在這次的IE漏洞中，駭客可以利用Flash繞過微軟預設的ASLR（隨機記憶體編排）和DEP（防止資料執行）保護機制，取得電腦的控制權限。所以，他說：「近日同時出現IE和Adobe Flash的零時差漏洞，電腦使用者則可以先透過停用Adobe Flash，同時達到避免Adobe Flash和IE的漏洞。」

由於這次的IE零時差漏洞已經出現少數攻擊行為，美國國土安全部所屬的電腦緊急應變中心（US-CERT）也緊急發布通告呼籲，如果XP使用者無法遵循微軟所提出的微軟安全公告建議，最好是停止使用運行在XP電腦上的IE 6～IE 8版本瀏覽器。

幾乎每隔幾個月，都可能出現與瀏覽器相關的漏洞，但這次的IE零時差漏洞受到更高度的關注，蔡松廷表示，對於所有XP使用者而言，這是他們第一次真正面臨到，當XP出現任何的資安風險時，將無法進行任何來自官方的漏洞修補，XP使用者根本身陷高風險的網路環境中。

根據Net Applications在今年3月份針對各個瀏覽器進行的市占率調查，IE市占率將近5成（48.9％），其次為Chrome（16.73％）、Firefox（16.48％）和Safari（13.04％）。顯見IE瀏覽器仍是許多電腦中主要使用的瀏覽器，而有將近一半的電腦使用者深受這次IE漏洞的威脅。

臺灣9成企業未升級XP，企業將加速升級

而在臺灣，微軟估計，臺灣目前還有400萬臺還在使用XP的電腦，也將面臨無安全更新可用的問題。根據iThome 2014年CIO大調查，臺灣只有不到1成（9.2％）企業已經在2013年完成XP作業系統升級，預計在2014年底會全數升級的企業則僅占20.5％，近9成臺灣企業內部的XP電腦都將受到影響。

信義房仲集團資訊長蔡祈岩則表示，這起IE瀏覽器的零時差漏洞將加速信義XP升級的速度。他說：「XP成為資安孤兒已經是不爭的事實，雖然將XP升級到Windows 7是既定的計畫，但類似這樣的XP資安事件，的確會加速信義房仲集團升級XP作業系統的速度。」目前信義房仲集團大約還有1成左右的電腦，還是使用XP作業系統。

蔡祈岩表示，從這起IE的零時差漏洞來看，信義房仲集團在短期內，可以藉由提高資訊安全等級、加強危機意識，藉由部署防毒軟體和搜尋引擎的安全機制等措施，來降低這個漏洞對XP使用者的衝擊。

不只企業加快升級步調，也有政府機關如臺北市政府資訊局主任秘書潘瓊如說：「資訊局部分已加速升級及汰換作業，也發文通知市府其他機關盡快完成升級，並在預算審核時，支持無法升級的電腦進行汰換。」

臺北市政府資訊局從2011年2月開始推動Windows 7升級規畫，也多次提醒各機關，Windows XP作業系統將於2014年4月8日終止支援，並請各機關及早規畫軟體升級等因應措施；資訊局也在今年4月2日，轉發行政院資通安全辦公室有關「因應微軟公司Windows XP作業系統終止支援服務之防護措施建議」的公文，請各機關配合辦理。

即便已經有事先發公文通知提醒，但並不是每一個公務機關都可以如期完成相關的升級因應措施。以資訊局本身為例，潘瓊如表示，目前資訊局還有3.7％的電腦仍使用XP，但是，面對前幾天發生的IE零時差漏洞，則是先找防火牆和IPS業者提供協助，並且依照微軟建議，針對IE使用者部署增強的緩解體驗工具包EMET（Enhanced Mitigation Experience Toolkit） 4.1版，或把網際網路及區域網路的安全級別調高，以封鎖ActiveX控制選項及Active Scripting。

有關XP升級作業，潘瓊如指出，資訊局仍朝原訂方向做升級處理，例如，在2014年底，將2010年後購置的個人電腦，優先升級到Windows 7；在2015年底，將2009年前購買的夠人電腦，優先使用各機關的「周邊設備及零組件」經費，擴增個人電腦主記憶體容量至2G以上，並完成升級至Windows 7。

不過，國際票券資訊部經理楊松達表示，因為該公司產業特性，較少沒有針對客戶端和網路端的金融銀行服務，XP升級步驟將比銀行業更慢。目前針對IE零時差漏洞，已經聽微軟建議先行部署EMET 4.1，但因為XP升級費用仍高，目前仍以汰換電腦硬體的方式來升級XP作業系統。

蔡松廷表示，除了停用IE瀏覽器，改用其他的瀏覽器外，正確使用部署微軟的免費工具EMET 4.1，並且停用Adobe Flash和vgx.dll，都可以有效預防這次的IE零時差漏洞帶來的風險。

相關報導請見：Windows XP才退役，IE瀏覽器爆發致命漏洞！