學承電腦鳳山分校

記者李鴻典／台北報導

上週末，微軟針對最新的Internet Explorer（IE）瀏覽器的零時差漏洞攻擊發出資安通報，這同時也是第一個會影響Windows XP系統而不會被修補的漏洞。

此漏洞將影響所有使用IE瀏覽器的用戶（從IE6版本到IE11版本），會讓駭客得以入侵受害者的系統，更改或刪除資料、安裝惡意軟體、或者進行控制等。趨勢科技表示，企業與個人用戶可採取四個作法降低風險，然而其中最簡單的方式，是立即安裝可防護此漏洞的資安軟體，以避免受害。

針對最新Internet Explorer（IE）瀏覽器的零時差漏洞攻擊，微軟已釋出一份資訊安全通報2963983（弱點編號CVE-2014-1776），表示由於一個物件在記憶體中已刪除或沒有正確分配（一個釋放後使用use-after-free狀況），導致IE存取該物件的方式造成漏洞。只要受害者瀏覽過駭客控制的網站，駭客就能攻擊這個遠端執行程式碼漏洞，若成功即可取得登入使用者的權限，並在受害者的電腦上執行任意的程式碼，導致受害者資料被竊取、或者被用來進行更多惡意攻擊。這個漏洞其實存在於所有的IE版本（IE 6到IE 11），並非僅針對IE 9到IE 11 而已，因此影響範圍甚廣。

趨勢科技資深技術顧問簡勝財表示，針對IE這個嚴重的漏洞，個人用戶可以採取以下作法以降低風險，包括建議使用者以一般使用者而非管理者的權限登入。由於遠端執行程式碼的權限，僅限於「登入使用者」的權限。因此，如果登入的使用者帳號並沒有系統管理者權限，即可降低部份風險。

依據微軟在其資安通報建議暫時性解決方案，包括可啟用「進階受保護模式（Enhanced Protected Mode）」（此模式僅支援IE 10與IE11）。停用或移除IE的Flash Player。漏洞攻擊需要使用Adobe Flash才能執行，因此停用或移除IE的Flash Player也能降低遭受此漏洞攻擊的風險。立即安裝一套可提供防護的資安產品。

至於企業用戶，簡勝財表示，企業一有損失就相當嚴重，因此需要立即採取最有效的作法，也就是立即使用可防護此漏洞的專業資安產品，以偵測攻擊行為、防止惡意程式滲透，並隨時監控瀏覽器是否出現漏洞被入侵的異狀，以避免機密資料遭到刪除、竄改或竊取，甚至系統或資料被駭客夾持並勒贖。

因為這個漏洞是第一個會影響Windows XP系統而不會被修補的漏洞，所以它可能已存在一段時間而未經修補。簡勝財說，趨勢科技之前曾提出警告繼續使用Windows XP，風險將會與日俱增，此漏洞證實了此一觀點，也代表數百萬仍在使用Windows XP的使用者所面臨的安全性漏洞永遠不會被修復。一旦軟體和作業系統終止支援服務（End of support）後，使用者和企業就更容易受到威脅。不過也有一些解決方案可以減輕此一困境，例如趨勢科技Deep Security的虛擬補丁，它可在實際修補程式出現之前，就先「虛擬修補」受影響的系統，同時也可以「虛擬修補」已終止服務的應用程式。