看來微軟有得忙了,因為一個星期以來就有三個資安研究人員發現不同的IE漏洞。
先是上周一位安全研究人員Michal Zalewski發現IE 6.0中可造成緩衝區溢位、導致IE當掉的漏洞;然後前天一名25歲的荷蘭工程師Jeffrey van der Stad公布IE處理HTA檔案的漏洞,駭客可任意執行HTA檔案進而掌控使用者電腦;本周三(3/22)資安業者Computer Terrorism又發表另一個可能讓駭客控制使用者系統的IE漏洞。
英國資安業者Computer Terrorism指出,這個新漏洞與IE使用createTextRange()方法處理資料有關,透過特別的程式碼,駭客能夠破壞系統的記憶裝置,並且執行未經使用者授權的程式,駭客將能全權掌控使用者的系統。
Computer Terrorism也表示他們已製造出該漏洞的概念性驗證程式,並已在Windows XP平台中的IE 6及IE 7.0測試版進行測試。
另一資安研究機構Argeniss執行長Cesar Cerrudo指出,這個最新的漏洞似乎是近來出現的3個IE 6.0漏洞中最嚴重的一個,因為看來可能很快就會被攻擊。
資安業者Secunia把這個新漏洞評為「高度危險」(highly critical)等級。另外,HTA漏洞也被視為較危險的漏洞,因為它能允許駭客掌控使用者的電腦,相較之下,緩衝區溢位的漏洞就顯得較不嚴重,只是它還是能讓IE當掉。
在這第三個新漏洞未出現之前,微軟就表示他們正在進行IE安全更新,預計在下一次更新日期就會修補這些漏洞,微軟下一次產品更新日期為4月11日,但微軟尚未對這個新發現的漏洞發表意見。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
