IE 7漏洞攻擊高升　微軟決定發佈緊急更新

微軟宣佈，將於今天（12/17）稍晚緊急發佈IE 7修補檔案，以解決目前被駭客用來攻擊電腦的資料繫結（data binding）漏洞。

微軟在週二（16）宣佈將緊急推出IE 7修補檔案，解決IE 7日益嚴重的漏洞攻擊。由於IE 7的漏洞還處於零日（Zero Day）攻擊時期，加上攻擊程式碼已外流，因此微軟決定不再遵循以往定期推出修補檔案的慣例，將於今天稍晚發佈IE 7修補檔案。

微軟已於昨日發出修補檔案的預先通知，表示這次非定期的檔案更新，主要是要防止遠端程式碼執行的攻擊。非定期性的更新對微軟而言並不多見，儘管上次發生才在10月底，但也只是過去18個月以來的首次發出緊急更新。

微軟再上一次的定期更新是在12月9日，針對IE 7決定緊急在17日發佈修補檔案，顯見此次IE 7漏洞的嚴重性。微軟同時也預告將舉行兩場網路廣播，時間分別為美國太平洋時間17日下午１點，以及18日早上11點，在會議中回答使用者對此次漏洞的疑問。

IE 7這次零日攻擊（或稱零時差）的漏洞，主要在於資料繫結的錯誤，將會導致駭客有機可乘，讀取受感染電腦的記憶體空間，進一步執行遠端的惡意軟體程式碼。這個漏洞可能讓IE 7的使用者在造訪惡意網站時，重要的個人資料遭到盜取，估計目前至少已有1萬個利用此漏洞的惡意網站存在。

在IE 7的漏洞發生之後，根據國外媒體預估，可能已有超過2百萬部電腦遭到感染。微軟已於先前發佈暫時性的緊急措施建議，隨後便表示將立即發佈修補檔案。然而，安全分析師建議，在微軟能確保其瀏覽器安全之前，IE使用者最好能先換用其它的瀏覽器程式。（編譯/吳曉波）