上周截稿前夕,我們獲知IE瀏覽器的零日漏洞攻擊已在臺灣發生了,已經有企業網站被當成了攻擊的跳板,但是,當時微軟還沒有釋出漏洞修補檔,因而我們利用這個單元提醒大家注意。不過,隔天微軟就釋出修補檔了,在本期的新聞單元則有關於這個事件的報導。(請見第16頁)
IE瀏覽器的零日攻擊已經不是第一次了,這次之所以備受矚目,是因為Google發現他們遭受中國駭客直接鎖定的攻擊,而且駭客企圖竊取維權人士的Gmail郵件資料,因此他們揚言不再過濾中國地區的搜尋結果,也不惜退出中國市場,後續引發了美國政治人物的聲援,並對中國封鎖資訊大加撻伐。
在歐洲,德國政府則呼籲人民暫時不要使用IE瀏覽器,直到這個漏洞的威脅解除為止。
截至目前為止,這類攻擊並沒有停止。由於IE DOM漏洞的攻擊程式碼已經被公開了,因而多家資安公司陸續偵測到同類型的新攻擊仍不斷發生。在這個時候,資訊主管應該好好利用這個機會,除了再次檢查自身的防禦策略之外,應該趁機教育使用者關於瀏覽器的安全問題,並且重新檢視瀏覽器的使用策略。
根據StatCounter在2009年12月的統計,IE瀏覽器在臺灣市占率達88.22%,幾乎快要達到9成了,而且就各個版本來看,IE 7的市占率為24.64%,IE 8則為18.58%,而安全防護較弱的IE 6,市占率則高達45%,快要過半了。
也就是說,在IE漏洞被揭發而微軟尚未釋出修補程式的空窗期間,有9成的電腦對於相關的攻擊可能都沒什麼防護力。所以,當某一個瀏覽器的漏洞被發現、也被公開了,在瀏覽器開發商尚未提供修補程式的空窗期間,如果你能夠暫時改換其他瀏覽器上網,那麼所面臨的威脅可能會小一些。這也是為何德國政府呼籲人民改換其他瀏覽器的原因。
然而,當這類事件發生之後,企業要臨時改用其他瀏覽器以避風頭,可不是一件容易的事,因為一轉換可能就跟公司本身的Web系統不相容了。
「請你使用IE瀏覽器,這樣才能正確地使用系統,不然其他瀏覽器不能相容。」以前我曾經遇到工程師這麼說,要我們配合,不要擅自使用其他的瀏覽器,不然連到Web系統就無法正常運作。
現在,這個現象在企業裏依舊司空見慣。資訊人員要求使用者配合使用特定版本的瀏覽器,減少相容性的問題,以求系統開發的簡化,這其實沒什麼錯,但現在針對瀏覽器的安全威脅越來越多,資訊人員可不能再有這樣的觀念,有必要修正了。
要求使用者一律使用特定瀏覽器,固然可以減輕系統開發及應用程式部署、管理的負擔,但卻也因而讓整家企業受制於單一瀏覽器,一旦這個瀏覽器有突發的危安事件,並缺乏修補檔時,你就得冒著完全曝露在威脅下的風險。所以從系統開發開始,就更有必要做到使網頁相容於不同的瀏覽器。
不只是企業內部的系統應該這麼做,企業對外提供服務的網站也應該如此。例如民眾常用的網路銀行,絕大多數都要求使用者必須使用IE瀏覽器,如果你能提供使用者其他的選項,像是玉山銀行的網路銀行可以支援Firefox瀏覽器,那麼當IE漏洞發生時,即便使用者顧慮到安全性而改換瀏覽器,你的客戶也不會因此而無法交易。
專欄作者
熱門新聞
2024-11-25
2024-11-15
2024-11-29
2024-11-15
2024-11-28
2024-11-25