IE再出現高危險漏洞

未修補的IE漏洞似乎愈來愈多，4月23日才有安全研究人員Michal Zalewski公開了微軟瀏覽器IE中處理HTML標籤的零時差（zero-day）攻擊漏洞，該漏洞餘波蘯漾，因為沒幾天資安業者Secunia就在分析Michal Zalewski所提出的漏洞警告時，發現另一個漏洞，而微軟也證實這是一個新漏洞。

這個IE新漏洞是出現在IE執行一個含有畸形物件標籤的HTML script時，駭客只要誘使使用者造訪一個惡意網站，就能攻陷該漏洞，導致記憶體錯誤，並進一步掌管使用者電腦。Secunia將該漏洞評為「非常重大」（highly critical）的漏洞。

此一漏洞的模式有點眼熟，因為它與Michal Zalewski發現的漏洞很像。其實，Secunia研究人員Andreas Sandblad一開始就是去分析Michal Zalewski所公開的漏洞資訊，並告知微軟他已成功攻擊該漏洞，但根據微軟的內部調查，Secunia攻擊成功的卻是一個全新的漏洞。

這個意外的發現讓Secunia更新安全建議，指出該公司發現了一個Michal Zalewski的「變種」漏洞。

Secunia說，這個漏洞確定存在於最新完整修補的IE 6.0及Windows XP SP2中，但其他版本也許也受到影響。

資安研究人員Matthew Murphy表示，Secunia的發現令人擔心，因為如果Secunia可以針對公開文件進行調查而設計出攻擊程式，表示駭客也可以。

除了出現「變種」漏洞外，另一資安業者FrSIRT在上周也發現另一個IE漏洞，並將該漏洞評為「高危險」（high risk）等級。

FrSIRT指出，因為攻擊該漏洞的概念性驗證程式已被發表，使得該問題更形嚴重。不過，有許多因素同時降低了該漏洞的風險，因為駭客必須先誘使使用者連結到一含有惡意程式的網站，之後還必須讓使用者執行一些特定行為，例如在特定的區域上寫上特定文字，之後駭客才能在使用者作業系統上執行任意程式。

此外，FrSIRT也說這個漏洞並未影響到微軟最新的視窗作業系統及Windows Server 2003。

由於使用者電腦要受到感染較不易，以及未影響最新作業系統，微軟並沒有打算在IE的安全更新日期中更新修補該漏洞。微軟表示，這是因為駭客如果要透過這個漏洞執行任意程式，前提要是系統設定多重使用者，一般傳統的瀏覽習慣中，很少採用這種模式。因此，微軟決定會在下一版的Service Pack中修正此一問題，而非推出安全更新。

發現此一漏洞的研究人員Matthew Murphy則建議使用者可以修改IE的安全設定，在使用者傳遞主動內容時不要再出現提示，因為該漏洞是存在於瀏覽器提醒使用者防範網頁上非安全的內容時，改變該設定則可以避免此一漏洞。（編譯/陳曉莉）