微軟上周揭露IE瀏覽器有一尚未修補的零時差安全漏洞後,包括我國的國家電腦事件處理中心(TWNCERT),美國電腦緊急應變中心(US-CERT)、英國電腦緊急應變中心(CERT-UK)、瑞典的電腦緊急應變中心(CERT-SE)、澳洲政府所屬的「聰明上網」(Stay Smart Online)網路安全網站皆對此一漏洞提出警告,並建議使用者在該漏洞未修復前,若無法遵循相關的資安措施,應改用其他瀏覽器。

此一漏洞存在於IE存取記憶體中未被妥善放置或已被刪除的物件,可造成記憶體毀損並讓駭客有機可乘,成功利用該漏洞的駭客可自遠端執行任意程式,影響了IE6~IE11等6個IE版本。其中IE 6至IE 8是Windows XP所使用的微軟官方瀏覽器,隨著微軟於4月8月終結Windows XP技術支援,也讓外界擔心這個安全漏洞將危及眾多的Windows XP使用者。

微軟在資安通報中確認,已發現透過該漏洞進行攻擊的案例。然而目前未有修補程式,使之成為零時差攻擊漏洞。

微軟建議使用者可安裝Enhanced Mitigation Experience Toolkit(EMET)4.1或EMET 5.0技術預覽版來降低被駭風險,啟用防火牆功能與更新系統上的軟體或防毒程式,或是強化IE上的安全設定。

此外,不論是資安業者或是各國的電腦緊急應變中心也都建議使用者可先改採Chrome或Firefox等其他瀏覽器以避免受到IE漏洞的危害。

國家電腦事件處理中心在資安警告中為IE使用者提出詳細的安全措施建議,在最後的註解中則表示,在微軟正式發布修補程式前,若無法採用相關措施,建議先使用其他種類的網頁瀏覽器。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容