微軟擴大IE零時差攻擊警報

微軟針對最新的IE 7漏洞發佈建議通報，指出儘管目前所見的攻擊皆針對IE 7，但不排除IE 5和IE 6也有潛在危險。

微軟在13日所發佈的安全建議通報，表示微軟正持續研究IE瀏覽器的漏洞，以及使用者針對此攻擊的回報。微軟表示，目前這些攻擊僅針對IE 7所支援的平台，包括Windows XP SP2、SP3；Windows Server 2003 SP1、SP2；Windows Vista、SP1；和Windows Server 2008。

然而，微軟亦不排除其他版本的IE瀏覽器亦有遭受攻擊的可能。微軟表示，包括IE 5.0.1 SP4、IE 6、IE 6 SP1，以及IE 8 Beta 2，在其所有支援的Windows平台上，也都有潛在遭受攻擊的漏洞。

微軟在該建議通報中，並未表示何時才會發表此漏洞的修補檔案，僅建議使用者暫時的防範之道。微軟建議使用者可修改網際網路選項中的安全性項目，將網際網路與近端內部網路改為「高安全性」，以要求IE瀏覽器在執行Active X控制項和Active Scripting程式碼時，能先行提示。

此外，該通報也建議使用者更改IE設定為執行Active Scripting前先提示，或是將網際網路與近端內部網路的此項功能停用。同時也建議啟用資料執行防護功能（DEP; Data Execution Prevention）。

IE瀏覽器為微軟最新的系統漏洞，由於尚未有修補檔案，目前仍處於Zero Day攻擊期間。微軟初期只認為會影響IE 7，但現已認為不僅於止，而且隨著中國安全軟體公司不慎將攻擊程式流出，後續影響可能擴大。（編譯/吳曉波）