安全廠商警告：IE7零時差攻擊可能蔓延

本週陸續有安全專家發現駭客開始針對IE7發動零時差攻擊，針對微軟尚未修補的IE7漏洞，利用網站掛馬攻擊。雖然微軟週二才釋出定期安全更新，不過仍未修補此IE7漏洞。

包括賽門鐵克、McAfee、國內安全廠商阿碼科技都表示，已發現針對IE7的攻擊開始蔓延。阿碼科技執行長黃耀文指出，在最近的網站掛馬中已開始出現越來越多針對IE7的威脅，使用者若是以IE7瀏覽遭掛馬的網站，就會自動下載惡意程式，偷取使用者帳號密碼、或是感染傀儡程式（botnet）成為駭客跳板。

賽門鐵克資深技術顧問莊添發則表示，目前發現有至少六個網址，出現IE7相關攻擊，另外，也已有駭客公開攻擊指令碼，在網路上討論。McAfee則是於週二（12/9）在Avert Labs Blog中表示，針對IE7的威脅正在中國大陸迅速傳染，IE7使用者若是瀏覽到被植入惡意程式的網頁，就會自動下載。

微軟雖然甫釋出每月的定期安全更新，不過尚未針對這個漏洞發出修補程式。台灣微軟表示，該公司已經得知這個訊息，並正在由全球緊急應變中心處理中，但在總部還沒釋出完整解決方案前，台灣微軟無法進行說明，不過全球將會在一、兩天內做出說明。

而據了解，雖然以往微軟在每月定期更新之外不會發佈個別修補程式，但在緊急狀況下也有例外，例如10月時就曾發佈重大緊急更新MS08-067。若是發現可能迅速引起災害的安全漏洞，就會是緊急狀況制定SOP，也可能像上次一樣臨時釋出修補程式。

黃耀文建議，在微軟尚未修補漏洞之前，最好先不要使用IE7瀏覽器，另外，使用者應檢查用戶端之惡意程式掃描記錄是否有異常現象。在企業網站安全部分，阿碼科技可提供HackAlert工具進行安全監控，避免被植入零時差攻擊碼。不過他也表示，和前版的IE瀏覽器相較之下，IE7已經算是漏洞較少的版本，從釋初以來很少傳出攻擊事件。

McAfee技術經理沈志明則表示，該公司的Host IPS在不更新特徵碼的情況下，即可阻擋該零時差攻擊。他指出，透過行為式入侵偵測技術，可以防護約五、六成的弱點。

微軟也看到安全威脅轉向網路端的趨勢，在明年初級將發表正式版的IE8中，就相當強調針對新型態攻擊加強防護，例如ActiveX以及跨站腳本攻擊（XSS, Cross-Site Scripting）。IE8新增的跨站指令碼篩選工具可偵測到這類攻擊，並對受感染的指令碼進行解讀、阻止執行。