根據微軟的資安通報顯示,駭客正利用社交工程、釣魚連結、木馬下載器等混合方式攻擊IE6及IE7版本,IE8亦受影響。該攻擊由資安公司賽門鐵克所發現提報。
根據賽門鐵克的資安部落格,駭客以假冒成飯店訂房資訊郵件的釣魚手法誘騙使用者連結到特定網頁,然後利用IE的漏洞,在使用者不知情的狀況之下,下載並執行木馬程式。根據賽門鐵克的調查,該伺服器位於波蘭,是被駭客入侵佔用的網站,伺服器所有人根本不知道已經成為駭客所利用,賽門鐵克通知業主之後,業主立即將相關惡意軟體的內容下架。
賽門鐵克取得該伺服器的日誌記錄,發現該惡意軟體的作者早已鎖定某些組織行業,而且全球眾多使用者曾連結到該網頁,但真的啟動下載木馬程式的並不多。賽門鐵克認為這表示大多數人使用的瀏覽器不會被此漏洞影響。
根據微軟的資安通報顯示,這次的零時差攻擊中,駭客利用IE處理CSS的一個漏洞取得下載並執行遠端程式的權力,已知目前的IE 6、7、8版本都可能會受到影響,IE 9測試版則不受影響,但實際上僅有IE 6、7遭受攻擊。
至於駭客為何挑選XP作業系統的IE 6、7作為攻擊目標,微軟解釋主要因為Vista、Windows 7的IE 7、8均受DEP安全模式保護,雖然駭客已經知道如何繞過DEP安全模式,但不適用於這次的漏洞。微軟很樂觀的表示,繞過DEP安全模式幾乎都會導致類似的攻擊失效,尤其是在系統支援ASLR(隨機位址分配)機制之下,這樣的舉動會讓整個IE瀏覽器當機而停止下載等攻擊行為。
微軟目前尚未公布修補程式釋出的時間,僅建議使用者啟用DEP安全防護、更新到新版本的IE,並採用客戶端的CSS取代網站端的CSS。(編譯/沈經)
熱門新聞
2026-01-16
2026-01-16
2026-01-18
2026-01-16
2026-01-16
2026-01-18
2026-01-16