IE長久的JavaScript漏洞出現攻擊碼

微軟IE瀏覽器中存在幾個月的JavaScript漏洞在周一（11/21）被公布了概念式驗證的攻擊碼。

這個攻擊碼是由英國一家名叫Computer Terrorism（電腦恐佈主義）的公司張貼在網路上，目前微軟尚未針對該漏洞提出修補程式，不過專家預計微軟會在今年12月13日例行的每月安全更新提供該漏洞的修補程式。

SANS網路風暴中心報告指出，該漏洞存在於IE瀏覽器下載網頁到電腦中的JavaScript元件中。另一安全研究公司Secunia則將該漏洞列為「極重大」（extremely critical）漏洞，該漏洞會影響Windows XP SP2的IE 5.5及IE 6.0版本，與Windows 2000 SP4中的IE 6.0。

Secunia技術長Thomas Kristensen表示，駭客可以藉由該漏洞進行所有想在該電腦中執行的程式。

事實上，在今年五月這個漏洞就被許多安全專家揭露，但一直以來都以為該漏洞最多可用來造成阻斷服務攻擊（denial-of-service；DOS），只會引起使用者電腦當機，一直到現在才出現這個可接管使用者電腦的攻擊程式。

使用上述作業系統及瀏覽器版本的用戶只要連上惡意網站，就會在不知情的狀況下被植入惡意程式。

這個攻擊碼由一家Computer Terrorism公司張貼在網路上，目前微軟尚未針對該漏洞提出修補程式，不過專家預計微軟會在今年12月13日例行的每月安全更新提供該漏洞的修補程式。

而現階段SANS網路風暴中心則建議用戶關閉IE中的JavaScript功能或是改用其他的瀏覽器。編譯／陳曉莉