微软警告系统零时差漏洞,IE浏览器间接受影响
添加评论
2011年1月31日
微软上周表示,正在调查一可能影响所有操作系统版本的漏洞,使用者若访问恶意网站就可能让骇客在使用者系统上执行恶意的脚本程序,进而窃取使用者资料。
微软安全回应中心经理Angela Gunn表示,该漏洞是藏匿在MHTML协定处理程序中,该功能是让应用程序描绘特定型态的文件,相关攻击会类似于伺服器端的跨站脚本(XSS)漏洞,例如骇客可能打造一个用来触动恶意脚本程序的HTML链接,然后诱导使用者点选,使用者一但点击,该脚本程序就会开始在现有的IE浏览器期间内运作,这类的脚本程序可能蒐集使用者的各种资料,或是在IE浏览器中显示伪造的内容,或者干扰使用者经验。
根据微软的说明,虽然IE浏览器为攻击指标,但这属于系统漏洞,因此与IE版本无关,XP及之后所有支援MHTML协定程序的操作系统版本都会受到影响。
目前已出现针对该漏洞的概念性验证程序,不过尚未发现实际攻击行动。微软现则提供暂时补救方案,建议使用者锁住MTHML协定,使用者可透过微软的Fix-it功能进行自动设定。
IE浏览器也挺郁闷的,本来跟自己没有什么关系,却成为黑客入侵的入口,要怪的话,也只能怪IE跟系统的功能结合的太紧密了。
树大招风,去年Firefox的漏洞比IE全系列还多,Firefox就安全吗?我想也不见得。Safari、Chrome、Opera 这些市场占有率低的浏览器,风险其实是有,只是很少被爆出来吧。
另外,如果还在用Windows 2000,好像也没有新的IE可升级,那倒是可以换其他浏览器。