美國國土安全部所屬電腦緊急應變中心(US-CERT)緊急發布通告,呼籲使用XP電腦者,如果無法遵照微軟所提出的微軟安全公告建議,最好停止使用運行在XP電腦上的IE 6~IE 8,以保安全。

近日IE驚爆出現零時差漏洞,影響遍及XP所用的IE 6到Windows 8內建的IE 11版。這是XP支援終止後的第一個重大安全漏洞,因而受到高度關注,連美國政府都緊急呼籲XP使用者不要使用IE瀏覽器。微軟還未釋出修補程式,但也將不會提供XP更新。臺灣仍有400萬臺XP電腦,使用XP的企業也有9成未升級,都將面缺乏保護的高風險中。

確保XP使用者安全,美國政府呼籲XP使用者停用IE

根據微軟編號2963983資安通報的說明,這個IE漏洞編號為CVE-2014-1776,存在於IE存取記憶體中未被妥善放置或已被刪除的物件,導致記憶體毀損並讓駭客有機可乘。這是一個允許遠端執行程式代碼的漏洞,遠端取得該臺電腦的控制權。駭客可以打造一個惡意網站並吸引IE使用者訪問,透過觸發這樣的漏洞,進行惡意程式掛馬。

目前微軟已發現少數針對該漏洞的目標式攻擊,並正在進行調查,未來將根據情況釋出修補程式。

Team T5資安研究員蔡松廷表示,這次的IE漏洞主要是VML(向量標記語言)元件出問題,而呈現VML應用程式則是vgx.dll,直接停用vgx.dll可以降低IE漏洞對使用者帶來的風險。因為,在這次的IE漏洞中,駭客可以利用Flash繞過微軟預設的ASLR(隨機記憶體編排)和DEP(防止資料執行)保護機制,取得電腦的控制權限。所以,他說:「近日同時出現IE和Adobe Flash的零時差漏洞,電腦使用者則可以先透過停用Adobe Flash,同時達到避免Adobe Flash和IE的漏洞。」

由於這次的IE零時差漏洞已經出現少數攻擊行為,美國國土安全部所屬的電腦緊急應變中心(US-CERT)也緊急發布通告呼籲,如果XP使用者無法遵循微軟所提出的微軟安全公告建議,最好是停止使用運行在XP電腦上的IE 6~IE 8版本瀏覽器。

幾乎每隔幾個月,都可能出現與瀏覽器相關的漏洞,但這次的IE零時差漏洞受到更高度的關注,蔡松廷表示,對於所有XP使用者而言,這是他們第一次真正面臨到,當XP出現任何的資安風險時,將無法進行任何來自官方的漏洞修補,XP使用者根本身陷高風險的網路環境中。

根據Net Applications在今年3月份針對各個瀏覽器進行的市占率調查,IE市占率將近5成(48.9%),其次為Chrome(16.73%)、Firefox(16.48%)和Safari(13.04%)。顯見IE瀏覽器仍是許多電腦中主要使用的瀏覽器,而有將近一半的電腦使用者深受這次IE漏洞的威脅。

臺灣9成企業未升級XP,企業將加速升級

而在臺灣,微軟估計,臺灣目前還有400萬臺還在使用XP的電腦,也將面臨無安全更新可用的問題。根據iThome 2014年CIO大調查,臺灣只有不到1成(9.2%)企業已經在2013年完成XP作業系統升級,預計在2014年底會全數升級的企業則僅占20.5%,近9成臺灣企業內部的XP電腦都將受到影響。

信義房仲集團資訊長蔡祈岩則表示,這起IE瀏覽器的零時差漏洞將加速信義XP升級的速度。他說:「XP成為資安孤兒已經是不爭的事實,雖然將XP升級到Windows 7是既定的計畫,但類似這樣的XP資安事件,的確會加速信義房仲集團升級XP作業系統的速度。」目前信義房仲集團大約還有1成左右的電腦,還是使用XP作業系統。

蔡祈岩表示,從這起IE的零時差漏洞來看,信義房仲集團在短期內,可以藉由提高資訊安全等級、加強危機意識,藉由部署防毒軟體和搜尋引擎的安全機制等措施,來降低這個漏洞對XP使用者的衝擊。

不只企業加快升級步調,也有政府機關如臺北市政府資訊局主任秘書潘瓊如說:「資訊局部分已加速升級及汰換作業,也發文通知市府其他機關盡快完成升級,並在預算審核時,支持無法升級的電腦進行汰換。」

臺北市政府資訊局從2011年2月開始推動Windows 7升級規畫,也多次提醒各機關,Windows XP作業系統將於2014年4月8日終止支援,並請各機關及早規畫軟體升級等因應措施;資訊局也在今年4月2日,轉發行政院資通安全辦公室有關「因應微軟公司Windows XP作業系統終止支援服務之防護措施建議」的公文,請各機關配合辦理。

即便已經有事先發公文通知提醒,但並不是每一個公務機關都可以如期完成相關的升級因應措施。以資訊局本身為例,潘瓊如表示,目前資訊局還有3.7%的電腦仍使用XP,但是,面對前幾天發生的IE零時差漏洞,則是先找防火牆和IPS業者提供協助,並且依照微軟建議,針對IE使用者部署增強的緩解體驗工具包EMET(Enhanced Mitigation Experience Toolkit) 4.1版,或把網際網路及區域網路的安全級別調高,以封鎖ActiveX控制選項及Active Scripting。

有關XP升級作業,潘瓊如指出,資訊局仍朝原訂方向做升級處理,例如,在2014年底,將2010年後購置的個人電腦,優先升級到Windows 7;在2015年底,將2009年前購買的夠人電腦,優先使用各機關的「周邊設備及零組件」經費,擴增個人電腦主記憶體容量至2G以上,並完成升級至Windows 7。

不過,國際票券資訊部經理楊松達表示,因為該公司產業特性,較少沒有針對客戶端和網路端的金融銀行服務,XP升級步驟將比銀行業更慢。目前針對IE零時差漏洞,已經聽微軟建議先行部署EMET 4.1,但因為XP升級費用仍高,目前仍以汰換電腦硬體的方式來升級XP作業系統。

蔡松廷表示,除了停用IE瀏覽器,改用其他的瀏覽器外,正確使用部署微軟的免費工具EMET 4.1,並且停用Adobe Flash和vgx.dll,都可以有效預防這次的IE零時差漏洞帶來的風險。

相關報導請見:Windows XP才退役,IE瀏覽器爆發致命漏洞!


Advertisement

更多 iThome相關內容