微軟上周五(5/30)發布一項安全報告指出,在Windows XP或Windows Vista上執行蘋果的Safari瀏覽器可能會引發混合式威脅(blended threat),讓駭客執行遠端程式攻擊,並建議使用者在蘋果或微軟提出補救措施前暫時先不要在視窗平台上使用Safari。
微軟說明,會造成此一安全問題的原因包括Safari預設的下載區域以及視窗處理執行檔的方式引發了混合式威脅,會讓檔案在未知會使用者的情況下下載到使用者的電腦上,同時允許執行,因此,駭客可以誘導使用者造訪惡意網站,並讓使用者下載與執行任意程式。
造成混合式威脅的安全漏洞分別存在於Safari瀏覽器及視窗系統中,受影響的視窗軟體包括Windows XP SP2、SP3,Windows Vista及SP 1。同時PC World報導,安全研究員指出,該威脅也與IE的舊漏洞有關。
微軟表示將依照用戶需求透過更新程式(SP)、每月例行性更新或是額外的安全更新進行修補。
而至於相關的Safari的漏洞則早在5月中旬就被一名安全研究人員Nitesh Dhanjani揭露,Nitesh Dhanjani表示Safari缺乏在下載檔案時要求使用者確認的機制,可能造成地毯式轟炸攻擊,在此之前,他先將所發現的3個Safari漏洞提交給蘋果,不過蘋果僅修改了其中一個,而這可能造成地毯式轟炸攻擊的漏洞則被蘋果視為非安全議題,蘋果僅回覆表示Dhanjani所提出的「在Safari下載任何物件時先詢問使用者」是個好建議。
微軟目前尚未發現任何針對此一混合威脅漏洞的攻擊,但建議在微軟或蘋果尚未進行修補前限制Safari瀏覽器的使用,或是改變透過Safari下載到使用者電腦的預設檔案儲存位置。(編譯/陳曉莉)
熱門新聞
2025-12-24
2025-12-26
2025-12-26
2025-12-29
2025-12-26
