IE 7零時差攻擊漏洞：微軟下月才要修補

IE 7瀏覽器近期被發現未修補的漏洞，並已有駭客用來進行零時差攻擊。不過微軟表示，目前該漏洞整體影響並不大，在台灣也僅發現少數攻擊案例，因此會在下個月的定期安全更新中提供修補程式，不會另外發佈。不過目前已經公告臨時緊急措施（workaround），提供暫時解決方法。

上週陸續有安全廠商警告，開始發現駭客針對IE 7漏洞展開零時差攻擊，並相當有可能發展大量威脅。中國大陸的「知道安全」（KnownSec）網站研究團隊，日前不慎將IE 7攻擊程式碼公佈於網路，也讓更多駭客知道如何利用這項漏洞。

由於微軟12月定期發佈的安全更新還來不及修補，預計要等到下個月。台灣微軟今天（12/16）表示，目前看到此攻擊在台灣蔓延的情形並不嚴重，企業用戶加上消費端用戶共計不到10個案例，因此不會像上次一樣臨時發佈重大緊急更新。

台灣微軟伺服器平台事業部資深行銷經理羅廷儀表示，此次針對IE 7的攻擊在中國大陸較為嚴重，台灣目前僅有少數案例。而微軟在TechNet網站已經發出警告通知，另外對企業用戶已經透過支援中心直接和客戶聯絡。並已提供相關建議和臨時措施，幫助用戶藉由修改電腦設定來暫時避免攻擊，但還不是完整解決方案。

羅廷儀指出，由於這次並沒有看到大量攻擊，因此不會臨時發佈更新，而會等到下個月的定期安全更新中釋出修補程式。而攻擊行為在中國大陸越來越嚴重的原因，相信和攻擊程式碼被公布在網路上有相當大的關係。

賽門鐵克資深技術顧問莊添發則表示，這個攻擊碼已是公開的，另外有一個開放源碼的滲透測試工具MetaSploit也有這個更新攻擊代碼。而賽門鐵克在之前就已更新病毒定義檔及Host IPS特徵碼，可以阻擋病毒或攻擊。

他進一步指出，通常判斷漏洞是否嚴重的標準包括影響層面，例如可從遠端攻擊、用戶端攻擊；以及是否有偵測到實際的攻擊、是否有公開的攻擊程式等等。雖然賽門鐵克目前沒有針對此漏洞調查攻擊數量，不過由於攻擊碼已被公布，因此將會持續被利用進行攻擊。

對於微軟將在下個月第二週的定期安全更新才修補漏洞，部分安全廠商認為，會拖延太久，甚至已有廠商聽到客戶的抱怨聲音。

趨勢科技資深技術顧問戴燊表示，雖然目前看起來台灣的攻擊情形並非很嚴重，但是只要微軟不修補，這個漏洞就沒有解決方案。目前看到夾帶的惡意網址都是來自中國大陸，有好幾十隻，並不算少，但趨勢的網頁信譽評等技術WRS已經可進行攔截。

Websense則發現某中國科技廠商網頁遭受IE7零時差攻擊，當使用者造訪該網站，會自動下載並直接執行惡意檔案，且現有下載的位置有可能在任何時候回復或是改變。