後XP時代的安全危機第一槍

微軟的WindowsXP作業系統才剛在4月8日除役，終止了一切支援，不少人也還在猶豫換新電腦，結果這個月還沒結束，資安研究人員就發現一個嚴重威脅WindowsXP安全的瀏覽器漏洞。

資安公司FireEye在調查祕狐行動（OperationClandestineFox），發現一個利用IE瀏覽器的VML（向量標記語言）元件漏洞發動的攻擊，以執行AdobeFlash檔案，繞過微軟的ASLR（隨機記憶體編排）和DEP（防止資料執行）等保護機制，把程式碼植入記憶體，以取得電腦的控制權，進而可由遠端遙控被駭的電腦。

FireEye發現當今微軟的IE瀏覽器都有這個漏洞（CVE-2014-1776），從IE6至IE11無一例外，受影響的作業系統亦涵蓋才剛退役的WindowsXP，以至最新的Windows8。

雖然FireEye的調查發現，攻擊者主要鎖定的是IE9至IE11等版本的瀏覽器，然而其他單位已經發現利用這個漏洞的攻擊程式，因此IE6至IE11所有版本的瀏覽器皆有此風險。而且，FireEye官方網站又說，基於特殊原因而不能進一步公布祕狐行動的細節，此一漏洞的風暴到底有多大，不免啟人疑竇。

此一事件暴發後，微軟已經提出緊急應變做法，包括停用IE瀏覽器用於處理向量圖形的VGX.DLL元件，或是透過EMET（EnhancedMitigationExperienceToolkit）工具來補強安全等多種方法。（請見本期新聞特別報導第18頁）。

然而，微軟至今尚未提供漏洞修補檔，因而許多國家的電腦安全處理中心皆視為高度風險，呼籲暫停使用IE瀏覽器，以其他的瀏覽器來代替。

待微軟提供IE瀏覽器的修補檔之後，絕大多數的IE使用者都可獲得安全的防護，但是，唯獨WindowsXP的使用者不行，因為WindowsXP只能使用IE8以下的版本，而IE8的支援服務隨著WindowsXP走入歷史而結束了，也就是說，微軟是不會提供IE6至IE8的修補檔。

對於仍在使用WindowsXP的使用者來說，最簡單又快速的方法，就是立即改換其他的瀏覽器，然而，有些企業的資訊系統只支援IE瀏覽器，這時要在短時間內改換瀏覽器，不只要面對用戶端部署的問題，更要解決系統端對瀏覽器支援的問題，可想而知問題非同小可。

在後XP時代，這次IE瀏覽器漏洞風暴已經開了第一槍，雖然這次可以用更換瀏覽器來躲過風暴，但也沒人敢保證未來不會再有其他的問題。微軟不再提供WindowsXP任何支援，已是不爭的事實了，唯有盡早換掉，釜底抽薪才是辦法。

本期封面故事探討虛擬化廠商VMware日前祭出的VSAN技術，這項技術也可說是VMware真正要巔覆企業儲存的第一槍。

十幾年前，VMware在x86伺服器平臺實現了伺服器虛擬化，把伺服器的運算底層給整個巔覆，至今，虛擬化已經不再是個額外的選項，而是新一代IT架構的根本。十年後的今天，VSAN即將掀起的變革，亦如同當年的伺服器虛擬化一般。

VSAN簡單來說，是在Hypervisor虛擬層管理主機端的儲存空間，可集結分散在多臺伺服器的硬碟空間，組合成一個虛擬的儲存池（目前仍有伺服器數量的限制），統一由Hypervisor來調派管理。

一旦Hypervisor具有VSAN的功能，就會帶來多種好處與用途，像是虛擬機器的映像檔就不必存放在SAN儲存網路，也就不需要SAN儲存設備，整個架構可以簡單化，亦可降低成本；又因為本機端SSD硬碟的容量越來越大，成本也逐漸降低，VSAN亦促成了利用本機SSD硬碟，以提升執行效能的應用方式。

然而，VSAN還不是VMware大刀揮向儲存的最大願景。接下來，VMware還會再端出VVOL（VirtualVolume）技術，讓SAN儲存設備更能配合虛擬機器，由Hypervisor做最佳化的管理。最終，如同我們技術主筆張明德所說的，VMware在逐步建構一個以「VM為導向」的虛擬化儲存架構。（請見658期第23頁）