近來傳出已有駭客針對未修補的IE 8漏洞進行攻擊,微軟已於上周五(5/3)證實該瀏覽器版本的確含有漏洞,並正進行修補。
資安業者Invincea上周指出,駭客攻陷美國勞工部網站的某些網頁,將造訪者導至其他網站並使其下載木馬程式,駭客利用的就是IE 8漏洞。因此舉凡使用IE 8瀏覽器的使用者皆可能受駭。進一步分析發現,被駭的網頁都與核災有關,應屬水坑攻擊(Watering Hole),駭客鎖定的是那些專門研發核武、來自美國能源部的員工。
Invincea在通報微軟後,微軟則證實了該漏洞的存取,並正展開調查,初步顯示只有IE 8含有該漏洞,其他諸如IE 6、IE 7、IE 9及IE 10皆未受影響。
微軟表示,該漏洞是因為IE存取了記憶體中已被移除或未被適當擺放的物件,造成記憶體毀壞並導致遠端程式攻擊漏洞。
微軟還未決定何時修補該漏洞,但提出了權宜補救措施,並建議使用者升級到其他IE版本。根據Net Applications的調查數據,目前IE的各種版本中就以IE 8的市佔率最高,達23.08%,IE 9為18.17%,IE 6為6.22%,IE 10則佔了6.02%。然而,對於Windows XP的使用者來說,IE 8是所能夠使用的微軟官方瀏覽器的最高版本,微軟並不允許Windows XP使用者升級到更新的IE 9及IE 10。
沒有留言:
張貼留言