微軟IE漏洞修補程式未出　已遭木馬鎖定

今年五月就被發現的一個IE瀏覽器漏洞，修補程式未出，已經成為駭客攻擊的目標。資訊安全公司Computer Terrorism在上周發表了針對該漏洞的概念式驗證（proof of concept）程式，展示駭客如何利用該漏洞接管使用者電腦。

微軟在本周二（11/29）警告微軟IE的用戶要小心所瀏覽的網站，並將該漏洞評為「重大」（critical）等級。

在五月就被發現的這個IE漏洞，直到上星期Computer Terrorism發布概念式驗證程式之前，都被認為不是一個太嚴重的漏洞，該漏洞出現在IE瀏覽器執行JavaScript的程序中，原本專家們都以為該漏洞只會引起阻斷式服務（denial-of-service；DoS）攻擊，可能導致IE自動關閉，但最新出現的這個概念式驗證卻顯示駭客將能遠端操控使用者電腦，或在使用者電腦中植入木馬程式。

當使用者利用IE瀏覽到惡意網站時，就可能在不自覺的情況下遭受駭客攻擊。反間諜軟體銷售業者Sunbelt Software表示，確定已有少數的惡意網站開始針對該漏洞進行攻擊。

目前微軟尚未針對該漏洞推出修補程式，但eWeek引用消息來源指出微軟安全回應中心（Microsoft Security Center Response；MSRC）將緊急發布該修補程式。

不過，在尚未推出修補程式之前，微軟也不忘趁此次漏洞攻擊推廣該公司最近發表的Windows Live Safety Center線上功能。微軟在安全更新建議（updated security advisory）中指出，目前Windows Live Safety Center已加入最新發現的TrojanDownloader:Win32/Delf.DH木馬程式的偵測及移除功能，網友可連結至該網頁去檢查自己的電腦系統。

微軟在今年11月推出了Windows Live及Office Live兩項線上軟體服務，其中Windows Live是鎖定一般消費者族群，而Windows Live Safety Center即是其中一項服務，專門提供用戶線上免費病毒掃瞄及移除服務。

該漏洞可能影響Windows 98、Windows Millennium Edition、Windows 2000及Windows XP等微軟視窗作業系統。（編譯／陳曉莉）