本帖最後由 z24374203 於 2013-1-3 19:30 編輯
| 該漏洞會造IE 6、7、8遭到遠端程式碼執行漏洞攻擊的可能性,不過IE 9、10並不會受到該漏洞的影響。(圖片來源) |
微軟在聖誕節期間遭到零時差漏洞攻擊,影響範圍包括IE 6/7/8。 根據微軟指出,該漏洞會造三個版本的IE瀏覽器遭到遠端程式碼執行漏洞攻擊的可能性。微軟表示已確知某目標式攻擊嘗試透過IE 8來發動漏洞攻擊,不過IE 9/10並不會受到該漏洞的影響。
微軟表示:「該漏洞是一個遠端程式碼執弱點,其會以IE存取一個未被刪除,或在記憶體中未被適當定址之記憶體物件的方式出現。透過該漏洞,惡意攻擊者可對正處理IE之中的使用者環境執行任意程式碼,進而將造成記憶體的損壞。」攻擊者可以藉由一個精心設計,並專門鑽IE該漏洞的惡意網站,來誘騙使用者瀏覽網頁。 一個可能的Web攻擊情境會是,攻擊者會透過一個專門觸發該漏洞的惡意頁面來劫持網站,一旦網站遭劫持,該原本接受並控管使用者提供內容或廣告的網站,就會包含一些能觸發該漏洞攻擊的特製惡意內容。但不論如何,在任何可能的攻擊案例或情境中,惡意攻擊者是無法強迫使用者非要瀏覽這些惡意網站不可。
為了在正式修補程式釋出之前,能暫時協助使用者避免上述可能情況的發生,微軟特別先對外公布Fix IT變通工具,同時建議使用者採用「Microsoft Enhanced Mitigation Experience Toolkit」(EMET)安全工具,來避免該漏洞攻擊的可能性。該漏洞最早是由APT方案供應商FireEye發現的,該公司接收到美國外交關係委員會(Council on Foreign Relations, CFR)網站遭劫持,並在節禮日(Boxing Day)遭惡意內容感染的安全報告。事實上,該網站早在12月21日星期五便已遭惡意內容的入侵。安全方案商Sophos指出,其紀錄顯示該網站遭感染的確切時間可回溯至更早的12月7日,不僅如此,至少還有5個其他網站也遭到該漏洞的感染。
|