IE瀏覽器又遭發現新漏洞
CNET新聞專區:Robert Lemos 2004/07/08
電腦系學生發現,微軟新發布的Internet Explorer瀏覽器修補程式仍不牢靠,有心人士只要拐個彎,照樣能在上網瀏覽網頁的使用者電腦上作怪。
微軟上周五(2日)發布修補程式,用來修補一種瑕疵,以免駭客利用該瑕疵與另外兩種已知的安全漏洞,經由瀏覽器入侵使用者的個人電腦。但一名安全研究員本周找到IE瀏覽器的另一瑕疵,可讓駭客達到相同的目的,就連微軟最新的修補程式也防堵不了。
在網路上張貼破解程式的荷蘭電腦系學生Jelmer Kuperus說:「微軟只選擇解決一部分的問題,他們理應知道會冒出這種問題才對。」
這是短短一個月內,微軟必須第三度和公開抖出IE安全問題的研究員鬥智。6月初,Kuperus發現某個網站利用之前未曝光的IE弱點,加上最近微軟已修補過的一個漏洞,在受害者的電腦上安裝廣告軟體(adware)。緊接著,上周安全研究人員又發現另一個比較輕微、微軟已修補過的老毛病,又在新版瀏覽軟體上重現。
針對新發現的瑕疵,微軟坦承不諱,並表示近日內會發布更多的修補程程式。
「本公司正著手準備一系列的IE安全更新程式,數周內會發布,將提供用戶額外的保護,」微軟發言人對CNET News.com說:「本公司也將繼續積極調查這些報導。」
最新發現的瑕疵其實並不新,早在今年1月就有安全人員提出來討論,Kuperus說。起初,這個問題被視為微不足道,但實際上卻很嚴重,因為駭客可能把它拿來與6月間發現的其他兩種弱點合而運用,便能輕易擅闖安裝IE瀏覽器的Windows電腦。
「我們今天所見的駭客攻擊,都是利用多重的弱點,每一種都迴避IE某個特定的安全功能,」Kuperus說:「個別來說,這些問題通常多半無害,但合起來卻構成重大威脅。」
這三種先後發現的弱點,都出自於一套元件和描述功能程式庫,稱為ActiveX。比較早發現的瑕疵隱含在ADODB.Stream之中,新發現的瑕疵則潛伏於Application.Shell元件。
IE冒出的瑕疵不勝枚舉,導致有的安全專家索性建議使用者改用別的瀏覽器。就連美國電腦緊急應變小組官員,也建議安全管理員考慮改用非微軟瀏覽器。
微軟則建議使用者上微軟網站查閱最新的資訊。 (唐慧文)
fr.: http://taiwan.cnet.com/enterprise/topic/0,2000062938,20090709,00.htm
0 Comments:
Post a Comment
<< Home