IE驚爆嚴重漏洞　微軟釋出修補救XP

資安公司FireEye在4月26日率先揭露，該公司資安研究團隊在追蹤一起命名為「祕狐行動（Operation Clandestine Fox）」的針對式攻擊（Target Attack）中，發現一個從IE 6瀏覽器至IE 11版本都存在的零時差漏洞（零時差漏洞指漏洞已存在，但尚未有修補檔），駭客可以利用該漏洞執行遠端攻擊程式。

此一IE漏洞被揭露後，引起廣泛注意的就是剛在4月8日退役的WindowsXP，因為XP隨附的IE瀏覽器也在受害行列，然而微軟已多次聲明，自4月8日起不再針對Windows XP電腦提供技術支援，包括安全修補檔。因為IE 8瀏覽器也隨著XP而退役，自然不再獲得任何安全更新，此一漏洞讓XP使用者的安全問題雪上加霜。

有鑑於此一漏洞的嚴重性，許多國家立即呼籲停用IE瀏覽器，然而，XP使用者即使改換其他瀏覽器，其實也只是緩兵之計，無法根除問題。因為問題的癥結在於Windows XP設計之初，網路安全問題不如今日猖獗，作業系統與瀏覽器的設計，並不足以抵擋潛在未知的網路攻擊；所以，即便是更換為他牌瀏覽器，只要電腦是Windows XP，依然有很大的安全空窗；一來是世上沒有一個絕對安全的瀏覽器，再者是Windows XP的根本設計，就沒有新一代作業系統所具備的安全防護能力。

微軟原本堅持不再對XP進行任何資安漏洞的修補，但在面對龐大的壓力下，微軟透過官方部落格在5月1日對外宣布，緊急修補這個IE漏洞，並基於XP處於甫退役的過渡期，因此修補範圍破例包括XP作業系統（也包括微軟XP嵌入式作業系統）。

此一事件發生後，微軟在短短的5天內就提供修補檔，XP作業系統的危機暫時解除，只不過，未來XP若再度出現安全漏洞問題，微軟不承諾是否會再破例提供漏洞修補程式。個人與企業的電腦使用者，是否可以將個人電腦與企業資安的安全性，寄託在無法確保安全性的作業系統上，則是此次面對XP終止支援後，首度爆發IE零時差攻擊時，所必須再三思考的重點。

駭客可利用IE漏洞，進行惡意程式掛馬

FireEye表示，已經有發現駭客利用IE 9～IE 11瀏覽器這樣的漏洞，針對國防、金融和能源等單位，進行鎖定特定目標的針對式攻擊。根據微軟的說明，這個編號為CVE-2014-1776的IE漏洞，存在於IE存取記憶體中未被妥善放置或已被刪除的物件，導致記憶體毀損並讓駭客有機可乘。

進一步分析駭客的攻擊手法，則是利用Flash繞過微軟預設的ASLR（隨機記憶體編排）和DEP（防止資料執行）保護機制，遠端取得電腦的控制權限。駭客也可藉此打造一個惡意網站，吸引IE使用者瀏覽並訪問該惡意網站，透過觸發這樣的漏洞，進行惡意程式掛馬。

也就是說，當電腦使用者使用有漏洞的IE瀏覽器瀏覽網站時，一旦該網站被駭客植入惡意程式，IE瀏覽器的漏洞就可以被觸發並被植入惡意程式。不僅使用者個人電腦淪陷，也可能成為企業內部網路的資安缺口。

瀏覽器和Word漏洞是近年來最常見的漏洞型態之一，加上瀏覽器是每個電腦使用者都一定會使用的應用程式，臺灣資安研究公司Team T5資安研究員蔡松廷表示，幾乎每隔幾個月，都會出現與瀏覽器相關的漏洞，一旦有瀏覽器的漏洞，都可能對於電腦使用者造成比較大的損害。

蔡松廷表示，目前駭客圈還沒有拿到真正利用該漏洞發動攻擊的樣本，所以，相關的研究資料仍掌握在微軟和資安公司FireEye手中，「現階段，還沒有使用者因為使用IE瀏覽器，而出現大規模的受駭災情。」他說。

XP不再提供修補程式，少數政府支付天價延長保固

當微軟不再提供XP作業系統的漏洞修補程式，這個IE零時差漏洞出現，也意味著還有許多使用IE瀏覽器以及XP電腦使用者，都曝露在高度的資安風險中。

依據Net Market Share網站截至2014年4月的統計數據，目前Windows 7有將近5成（49.27％）的市占率，其次為Windows XP（26.69％）和Windows 8/8.1（12.24％）。因為XP已經在4月8日終止支援，還是有將近3成的使用者因為XP不再繼續提供各種更新服務，將面臨更多難以掌控的資安風險。

這次微軟出現的IE零時差漏洞，則影響到各個版本的IE瀏覽器，若進一步了解各個IE瀏覽器版本的市占率，只能運行在XP上的IE 6～IE 8瀏覽器市占率為24.93％，其餘IE 9～IE 11的瀏覽器市占率則為32.35％。從這樣的數據中可以發現，光是IE各版本瀏覽器總市占率就將近6成（57.28％）之多。對於使用IE瀏覽器和XP作業系統的使用者而言，這次的零時差漏洞都帶來嚴重的資安風險。

有許多國家因為來不及升級到更新的版本，只得支付大筆的金額，特地跟微軟再度延長一年的漏洞修補服務。像是英國政府還有大約2萬臺電腦還是XP作業系統，為了確保在完成作業系統升級前的電腦安全性，英國政府另外支付微軟大約555萬英鎊（約新臺幣2.82億元），以延長一年（2015年4月）的保固服務。

除了英國，荷蘭政府還有34,000～40,000臺電腦還在使用XP作業系統，也支付數百萬歐元，將微軟漏洞修補服務延長到2015年1月。因此，除了少數來不及完成作業系統升級且有足夠財力的單位，可以支付天價費用以延長保固外，多數XP使用者則深陷資安泥淖。

也因為還有為數眾多的XP使用者，在這波微軟IE瀏覽器的零時差攻擊時，像是美國國土安全部所屬的US-CERT則緊急出面呼籲，還在使用XP作業系統的使用者，不要使用微軟預設的IE瀏覽器，應該改用其他例如Firefox或Chrome的瀏覽器，以確保瀏覽網站的安全性。

微軟雖然釋出XP版修補程式，但下不為例

原本微軟已經信誓旦旦，將不再針對XP上的任何資安漏洞進行修補，所有在XP上出現的各種資安漏洞，都將成為永遠的零時差漏洞，也希望藉此促使XP使用者升級到Windows 7或8.1等較為安全的作業系統。

不過，微軟在經歷不到一周的時間，緊急在5月1日釋出IE零時差漏洞的修補程式，也包含XP版本在內。微軟在官方部落格表示，因為這次的出現的零時差漏洞，距離4月份最後一次XP漏洞修補的時間點很近，所以此次釋出的IE修補程式，才破例包含XP版本在內。

臺灣微軟指出，針對此次IE弱點，該公司在第一時間就已釋出緊急應變程序，於最短時間內測試完成並釋出正式的安全更新，就是希望將對使用者影響層面降至最低。在此同時，微軟也透過多種策略合作方式與資訊安全夥伴合作，第一時間針對相關風險進行相關的防禦處理，就是希望提供所有使用者最佳的保障。

但是，臺灣微軟再次重申說道：「微軟的產品生命周期支援政策，沒有因為這次提供IE零時差漏洞修補程式後，而有任何改變。」當Windows XP於今年4月8日終止支援後，微軟將不再提供新的安全性更新、非安全性 Hotfix、免費或付費支援服務、電話諮詢、線上技術內容更新。

也就是說，未來使用XP作業系統的使用者，將接收不到來自微軟官方，任何與XP相關的漏洞修補訊息，「除非，使用者已經升級到其他新版的作業系統，例如Windows 7或Windows 8.1等。」臺灣微軟補充表示。

XP已死，新版作業系統可追

微軟Windows XP作業系統在2001年推出，當時核心是承襲自Windows 95。臺灣微軟表示，當年網際網路剛興起，在產品設計上，還無法周全的考慮到，現在各種因為網路而興起的網路犯罪與攻擊手法，也因此，安全性一直是XP多年來最重要的關鍵點。

微軟為了提高作業系統的安全性，在設計Windows Vista時，重新定義了安全性，例如，UAC（User Access Control，使用者存取控制）、IE的受保護模式（Protected Mode），以及應用程式也受到各種安全規範。雖然，在當年出現了許多應用軟體和Vista不相容的情況，但的確為使用者提供了較高的安全保護。

臺灣微軟認為，淘汰不安全的作業系統，就像是淘汰一臺20年的老車，畢竟，老車不論再怎麼改裝，功能和安全性也很難和現代的汽車比較。這也是微軟鼓勵使用者升級到Windows 7或Windows 8.1等比較新版本的作業系統與瀏覽器，藉此提供使用者更安全的使用環境。

在微軟釋出修補程式之前，臺灣趨勢科技資深技術顧問簡勝財表示，該公司客服同仁就接到上百通的電話，來詢問如何因應這波的零時差漏洞；臺灣微軟則說，0800客服中心僅有接獲2通詢問電話，客服中心及企業業務相關同仁，已將緊急應變措施與5月1日釋出的安全更新資訊告知使用者，協助解決問題。

另外，在這波零時差漏洞的資安事件中，也促使不少企業加速作業系統升級的速度，例如，信義房仲集團資訊長蔡祈岩則表示，該公司確認微軟將於今年4月8日終止各種支援後，就已經開始積極因應。他說：「信義房仲集團大約還有1成左右的電腦還是使用XP作業系統，雖然將XP升級到Windows 7是既定的計畫，當XP成為資安孤兒已經是不爭的事實時，類似這樣的XP資安事件，會加速信義房仲集團升級XP作業系統的速度。」

除了民間企業之外，有一些政府機關也積極因應XP終止支援可能帶來的各種資安風險。臺北市政府資訊局主任秘書潘瓊如表示，目前資訊局還有3.7％的電腦仍使用XP，為了怕XP再發生零時差漏洞，甚至可能無法預防的情況下，她說：「資訊局部分已加速升級及汰換作業，市府其他機關，也發文請他們儘快完成升級，並在預算審核時，支持無法升級的電腦進行汰換。」

微軟在多方壓力下，終於在5月1日於官方部落格表示，將提供IE的漏洞修補程式，因為距離XP終止支援的時間很近，這次的IE漏洞修補，也包含XP版本在內。

相關報導請參考「XP危機這次有解 但XP仍是企業資安未爆彈」