IE零時差漏洞再現　微軟釋出緊急修補工具

微軟在2012年年底發佈一則資安通告，並釋出IE 6、7、8的緊急修補工具（fit it），以協助使用者修補新發現的零時差漏洞。該漏洞可以讓駭客取得當前使用者的權限，IE 9/10則不受影響。

該漏洞讓遠端程式可以使用已經被刪除或沒有正確配置記憶體位址的遠端遙控物件，藉以取得當下使用者相同的權限，如果使用者以系統管理員權限登入時點擊惡意網站，則會受到更嚴重的影響。

微軟表示，Windows XP/Vista/7與Windows Server 2003/2008中的IE 6、7、8皆受到該漏洞影響，攻擊程式會繞過Windows的安全機制如DEP（資料執行防止）、ASLR（位址空間配置隨機載入）等，使用者應立即套用修補工具。微軟已經發現有針對性的攻擊事件，利用該漏洞試圖對IE 8進行攻擊。

資安公司FireEye表示，他們在12/26從美國外交關係理事會（CFR，Council on Foreign Relations）網站偵測到針對IE 8零時差漏洞的攻擊，並確認在12/21之前該網站就遭入侵。有網友回應表示，他從Google的庫存網頁中找到12/07版本的惡意程式碼。

FireEye與另一資安實驗室AlienVault研究發現，該攻擊程式碼會偵測使用者端瀏覽器的語言，若瀏覽器預設使用英、中、日、韓、俄等國語言才會進行攻擊，程式碼也會設置Cookie做為檢查之用，避免短期間內重複入侵。

媒體報導該理事會4700多名成員涵蓋眾多掌握美國外交及國家安全機密的知名人士如前國務卿Madeleine K. Albright、Colin L. Powell等，並從以往利用IE漏洞攻擊Google的「極光行動」與限制攻擊中文版本IE瀏覽器等跡象，猜測攻擊事件可能由中國方面的駭客發起。

不過駭客可能為了避免被追查，已經在12/27移除入侵網站的相關資料與檔案。美國FBI確認已經接獲報案並開始進行調查，尚未發表意見，CFR一位發言人David Mikhail承認網站遭入侵，但未透漏相關細節。（編譯/沈經）