吳明宜周末以來威脅Internet Explorer 6和7的概念驗證攻擊碼,迫使微軟周一發出安全通報。
周末以來威脅 Internet Explorer 6 和 7 的概念驗證攻擊碼,迫使微軟周一發出安全通報。
微軟表示,目前這影響 IE 6 SP on Microsoft Windows 2000 Service Pack 4 ,及 Internet Explorer 6 and Internet Explorer 7 on Windows XP 、 Windows Server 2003 、 Windows Vista 及 Windows Server 2008 的弱點,已經在監視中。
而 Internet Explorer 5.01 Service Pack 4 和 Internet Explorer 8 則沒受到影響。
「目前沒有發現到任何試圖攻擊該弱點的行為。微軟表示,「這個弱點為 IE 的 invalid pointer reference 。」在某些情況下,CSS/Style 物件如果即使被刪除也可以存取。在特定攻擊中,試圖存取這無主物件的 IE 可能被用來執行攻擊程式碼。」
IE6 和 7 佔全球瀏覽器市場約 41%,這顯示出多數使用者將成為下手對象。安全公司 Zscaler 安全研究副總裁 Michael Sutton 說:「此類攻擊也能使得受害合法網站為虎作倀。只要透過 HTML 程式碼啟動攻擊,駭客就能把有害程式碼注射到安全防護較弱的網站中。」
賽門鐵克安全回應中心指出,這個概念驗證攻擊已出現有不同的行為。但賽門鐵克認為未來攻擊行為會愈來愈有效。
雖然修補程式還未發出,但微軟提供數個減低風險的方法。