IE非官方修補程式再現

繼eEye Digital Security在日前針對微軟IE瀏覽器中的「createTextRange()」漏洞提供暫時性修補程式之後，專門提供入侵防禦技術的Determina也隨之發表第二個非官方的修補程式。

不過SANS研究長Johannes Ullrich指出，微軟的安全建議書中曾經建議使用者可以關閉IE中的Active Scripting功能，以防堵可能針對該漏洞的攻擊。另也有安全專家建議使用者改用其他瀏覽器，除非上述兩項暫時性措施都不適用，否則他並不建議使用者考慮採用非官方的修補程式。

Active Scripting是一項被用來讓網站呈現更豐富的工具，如果使用者關閉了這個功能，所瀏覽的網站呈現就會受到影響。

資安業者Websense表示，自從這個「createTextRange()」漏洞在上週被揭露後，已發現有超過200個網站含有相關的惡意程式。

不過，微軟也從未建議使用者採用非官方的修補程式，因為這些修補程式可能沒有經過嚴謹的品質測試，因此不知道這些修補程式是否會對企業內部的應用程式產生任何不良的影響。微軟安全反應中心甚至表示，安裝這些非官方修補程式的使用者必須「自負風險」。

「createTextRange()」並不是微軟第一個來不及修補、而讓其他資安業者取而代之的IE漏洞，之前IE中出現的WMF漏洞也有業者在微軟之前推出非官方修補程式，這些業者在微軟之前推出修補程式的原因包括這些漏洞都屬於危險等級，而且很容易被駭客攻陷，同時，漏洞現身與微軟推出修補程式間的空窗期也令資安業者及使用者擔心。不過，微軟仍舊打算依照原訂計畫在今年4月11日推出修補程式。（編譯/陳曉莉）