吳明宜受到上周發現Google及其他33家公司遭到中國利用Internet Explorer瀏覽器的弱點進行攻擊的影響。微軟周四發佈例行之外的修補程式MS10-002來解決Internet Explorer瀏覽器8項弱點。
受到上周發現 Google 及其他 33 家公司遭到中國利用 Internet Explorer 瀏覽器的弱點進行攻擊的影響。微軟周四發佈例行之外的修補程式 MS10-002 來解決 Internet Explorer 瀏覽器 8 項弱點。
這 8 家弱點風險等級被評定為「重大」,攻擊指數 (Exploitability Index) 為 1,意指可能有攻擊程式碼。事實上,已有報導指出有概念驗證攻擊碼,而且已在網路上流傳。
微軟呼籲客戶及早安裝更新程式。受影響的軟體包括 IE 5-8 版、 Windows 2000 、 XP 、 Vista 、 7 、 Server 、 2003 和 Server 2008 。微軟表示只看到針對 IE 6 零星的精準攻擊行為。但其他安全公司則認為 IE 7 和 8 的用戶也可能受影響。
賽門鐵克表示已偵測到針對其中一項弱點進行的攻擊行為。
賽門鐵克安全回應中心安全智慧中心部門經理 Josh Talbot 在電子郵件中表示,新攻擊稱為 Trojan.Malscript!html,該公司發現它已攻擊數百個網站。他表示惡意程式碼會繞過 IE 下載檔案的對話框,然後躲過監控呼叫 API,某些安全程式就是藉 API 來偵測惡意程式活動。
周三微軟也發佈安全公告 979682,指出有一項提升權限 (Elevation of Privilege,EoP) 的弱點會影響 32 位元版本 Windows 核心。
為攻擊弱點,取得管理權限,攻擊者必須在受害者 PC 擁有帳號,可本機登入。微軟表示還未看到有攻擊行為發生,同時也提升暫時解決方案。