日前微軟IE瀏覽器連續被找出三個漏洞,其中一個重大漏洞已出現攻擊案例,由於微軟官方修補程式要到4月11日才推出,網路安全公司eEye Digital Security 推出了「暫時」的修補程式。
這個修補程式主要解決的是日前所發現的「createTextRange()」漏洞,根據News.com報導,目前該漏洞已有兩百個惡意網站的攻擊案例。不慎連上這些惡意網站的使用者,電腦將會被偷偷安裝上一些惡意程式,例如間諜軟體、廣告軟體、木馬,或是遠端控制程式。由於駭客可利用該漏洞掌控使用者的電腦,因此安全專家認為這是個嚴重的漏洞。
微軟的安全反應中心主管Stephen Toulouse在他的部落格上則表示,已經在開發修補程式以解決該漏洞,並希望能夠盡早推出修補程式,不過基本上還是會在4月11日的安全更新日推出。Toulouse還建議,若使用者不放心,可到Windows Live的安全中心,掃瞄移除可能的攻擊。
換句話說,從漏洞攻擊出現,到官方修補程式推出之間有兩個多星期的空窗期。eEye的駭客長Marc Maiffret表示,這段時間讓數以百萬計的Windows使用者可能受到攻擊。
不過,微軟也提出了暫時的解決方法,就是停用IE中的Active Scripting功能。不過,對於一些必需使用網站中scripting功能的使用者來說,這個方法並不適用。也因此,eEye建議,無法停用Active Scripting功能者才安裝其修補程式。
eEye以免費的方式提供該修補程式,並宣稱,未來安裝官方的修補程式時會自動刪除安裝。由於未經過微軟的正式測試,因此微軟並不建議使用者安裝非官方的修補程式。「客戶必需自負風險。」微軟安全反應中心表示。
以第三方程式救急修補IE已經不是第一次。去年11月,IE出現了重大的WMF影像處理漏洞時,也是由軟體開發者率先推出臨時的修補程式。(編譯/郭和杰)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12