IE VML漏洞出現非官方修補程式

有一由二十多名資安研究人員組成的志工組織──零時差緊急反應小組（Zeroday Emergency Response Team，ZERT）在上周針對微軟的向量標記語言（Vector Markup Language，VML）漏洞發表了非官方的修補程式。

ZERT組織是由來自不同國家及資安業者的研究人員自願加入而組成的，包括美國、俄羅斯及德國的資安研究人員都加入該組織，並用反向工程（reverse-engineered）技術開發了針對VLM漏洞的修補程式，提供使用者下載。

該組織表示，團隊成員共同合作針對可能爆發的零時差攻擊發表非官方修補程式。未來若有類以的危急漏洞現身，該組織也會繼續進行修補。

VLM漏洞是由資安業者Sunbelt所揭露，Sunbelt發現該漏洞將影響IE 6.0及Outlook 2003，主要是這些軟體處理向量圖形的方式產生漏洞，如果駭客透過瀏覽器攻擊，使用者只要下載惡意圖片就可能受到攻擊；倘若透過Outlook 2003進行攻擊，那麼使用者僅僅只要透過電子郵件的預覽視窗就可能受到這些惡意圖片的感染。

受感染的電腦可能被駭客操縱，用來植入其他惡意程式，諸如間諜程式、木馬程式，或成為被駭客掌管的僵屍電腦。

ZERT發言人Randy Abrams則說，該組織的一些成員認為該漏洞可能帶來的風險極大，因此等不及微軟發表表官方修補程式。

微軟安全回應中心營運經理Scott Deacon在部落格中指出，其他人為了保護微軟使用者而提供修補程式是件好事，不過微軟仍然不建議使用者採用非官方修補程式。

事實上，ZERT自己也發出聲明指出，即使ZERT有測試過這些修補程式，但仍然無法提供保證，使用者必須自行承擔下載這些修補程式的風險，或者等到微軟官方修補程式出爐。

不過，業者認為ZERT此一行徑可能迫使微軟提早推出VML漏洞的修補程式，一般而言，微軟可能會在10月10日的每月例性行修補日進行更新，但Scott Deacon表示微軟也有可能提早針對該漏洞提出更新。

即使微軟宣稱尚未發現針對該漏洞的大規模攻擊，但iDefense快速回應中心總監Ken Dunham表示，最近一個攻擊的例子是駭客攻陷了一家主機代管業者，並把500個網域名稱指向其他含有惡意程式的網站，使用者在不經意中就會受到影響。

微軟針對該漏洞提出暫時性防範安全建議，包括針對.dll漏洞設定控制項中的kill bit（刪除位元），或是關閉瀏覽器中的描述性程式功能；建議使用者定期更新其防毒程式，不要瀏覽不信任的網站或開啟可疑的電子郵件。（編譯/陳曉莉）