未修補的IE漏洞遭色情網站利用

眾多資安業者在本周提出警告，有一影響所有微軟IE瀏覽器版本的漏洞正被駭客用來進行大規模攻擊。駭客利用IE處理向量標記語言（Vector Markup Language，VML）的漏洞進行攻擊，只要IE用戶造訪含有惡意程式的網站，就可能受到危害。

這個漏洞首先由Sunbelt Software的研究人員在周一（9/18）提出，VML主要是用來顯示網頁上的圖形，因此資安專家們也發現，最早利用此一IE漏洞的惡意程式網站為俄羅斯的色情網站。

Sunbelt研究及開發副總裁Eric Sites指出，此漏洞影響所有在Windows版本上執行的IE 6.0。Internet Security Systems（ISS）的X-force研究實驗室總監Gunter Ollmann則說它也影響更早的IE 5.01版本，甚至是最新的IE 7.0都可能陷入危險。

Sunbelt是在上周五（9/15）於俄羅斯的色情網站上發現針對該漏洞的惡意程式，Eric Sites說明，該公司發現此網站或其他網站是採用昇級過的Web Attacker的開發工具包，安全研究人員估計，約有近一千家網站使用Web Attacker，這可能使得這個未修補的IE漏洞疫情急速擴大。

Web Attacker是專門銷售給駭客的攻擊工具包，售價僅有15～20美元。

當駭客使用該工具包進行攻擊，使用者只要瀏覽到惡意網頁，就有可能造成系統的堆積溢位，允許駭客在使用者電腦中植入任意程式，例如間諜程式、木馬程式或rootkits等，而駭客也可將該攻擊程式嵌入電子郵件中，使用者甚至只要瀏覽隨著電子郵件寄送而來的惡意圖片，就會受到感染。

微軟在周二（9/19）表示已經知道有此一漏洞，已著手製作修補程式，並已在最後測試及確保品質相容性的階段，預計會在十月的定期更新中修補，亦不排除提早提供修補程式。

對於此一尚未修補的漏洞，微軟也在網站上祭出安全建議提供暫時補救措施，包括針對.dll漏洞設定控制項中的「kill bit」（刪除位元），或是關閉瀏覽器中的描述性程式功能。微軟還建議使用者定期更新其防毒程式，以及不要瀏覽不信任的網站，或是開啟可疑的電子郵件。

包括Sunbelt、ISS及其他資安業者皆建議使用者關閉JavaScript功能以求自保。不過，Gunter Ollmann指出，駭客只要稍加改寫攻擊程式，即使不透過Java也能針對該IE漏洞進行攻擊。（編譯/陳曉莉）