上周資安業者Sunbelt率先提出微軟IE瀏覽器處理向量標記圖型(Vector Markup Language,VML)的漏洞,雖然微軟一直堅持該公司及其合作伙伴都尚未發現針對該漏洞的大規模攻擊,不過,微軟安全回應中心營運經理Scott Deacon在部落格中表示,他們正加快修補該漏洞,如果能在下個例行性更新日期前完成,就會提前推出修補程式。
Sunbelt所揭露的VML漏洞影響IE 6.0及Outlook 2003,主要是這些軟體處理向量圖形的方式產生問題,駭客只要透過惡意的向量圖檔並誘使使用者瀏覽就能讓使用者電腦受到感染,受感染的電腦可能被駭客操縱,用來植入其他惡意程式,諸如間諜程式、木馬程式,或成為被駭客掌管的僵屍電腦。
即使微軟一直強調尚未發現針對該漏洞的大規模攻擊。不過近日資安業者卻相繼針對該漏洞提出警告,例如資安業者在本周日(9/24)發現駭客已發表樣本程式,秀出如何在完整修補的Windows XP中攻擊此一漏洞,此一樣本程式的揭露讓專家們相信大規模的攻擊即將展開。
Websense就在周一(9/25)表示他們開始偵測到大量的電子郵件中,內含連到含有惡意VML圖案的網站連結,藉以攻擊IE中的VML漏洞。
VML漏洞有另一潛在的危機是與另一個產品的漏洞有關,這是由cPanel推出的網站代管管理機制,此一網站代管管理軟體由網站代管業者提供給旗下的客戶,讓他們較容易進行網頁管理,不過,這個管理機制卻存在著漏洞,讓駭客能夠接管整個網站。
此一網站代管管理軟體的漏洞可能讓VML攻擊變本加厲,因為駭客可以利用該漏洞取得網站主管權,再於這些網站上注入惡意的VML圖片。
專門提供網站代管服務的HostGator.com執行長Brent Oxley就坦承,早在上周開始,駭客就透過cPanel的漏洞取得旗下不少網站的主導權。目前該公司總計提供50萬個網站的代管服務,根據估計,被駭客攻陷的至少有數千個。
而且,自上周四開始,就有駭客在這些接管的網站上提供惡意VML圖片。
Scott Deacon說,迄今不論是微軟或其合作伙伴都尚未發現針對VML漏洞的大規模攻擊,但他坦承,這種偏安情況也可能瞬間就改變。
一群由二十多名資安研究人員組成的志工組織──零時差緊急反應小組(Zeroday Emergency Response Team,ZERT)在上周針對VML漏洞發表了非官方的修補程式,不過,微軟並不建議使用者安裝非官方更新程式,而是在微軟網站上提出暫時性補救措施,現在看起來使用者也許能夠等待微軟提早發表該漏洞的官方修補程式。(編譯/陳曉莉)
熱門新聞
2026-01-09
2026-01-09
2026-01-10
2026-01-09
2026-01-09
2026-01-09
2026-01-09