記者/劉馨文
駭客攻擊事件又添一筆,近期駭客發現IE有新漏洞,便針對此發動攻擊,目前仍不清楚有多少用戶受害,而微軟在接獲此訊息之後,立即於昨日(12日)緊急發布安全通告,並提供「Fix It」的軟件更新,以及相關的安全建議,以保障客戶的使用安全。
微軟表示,駭客是利用上周二(10日)每月例行更新時,未修護到的新漏洞進行「zero day (零時差)」的惡意攻擊,且此次駭客是採取「規模有限,但目標明確的攻擊」形式。目前已發現少數的攻擊案例,主要是鎖定在IE8與IE9,不過此漏洞可能影響到所有的IE版本。
根據微軟對於此漏洞的說明表示,IE的零時差漏洞是利用記憶體中一個已經被刪除或是未被正確配置的物件,進而破壞記憶體,使得攻擊者可以遠端執行,並同時具備與使用者相同的權限。目前安全專家表示,使用者應該趕快手動安裝Fix It,否則盡可能不要使用IE瀏覽器,直到微軟Windows Update自動更新時,自然修補漏洞。
資安公司 Qualys Inc.科技長 Wolfgang Kandek 表示,在Fix It更新發布之後,一些稍具能力的駭客也會找到新漏洞,並進行下一波攻擊,因此目前Fix It只能提供暫時性的保護,另外,安全專家指出,國家資助的駭客團體,常願意支付數十萬美元,以找出像IE這類廣泛使用的軟體的漏洞,並指針對精選出的少量、且高價的目標進行攻擊,因此建議應定時更新軟體版本。