IE7看來還是少用,真得建議大家用安全好用的FireFox ,或是速度方便好用的Google 瀏覽器。
微軟在上星期緊急發佈IE 7修補檔案,但據安全業者McAfee指出,駭客仍可透過內嵌於Word檔的Active X控制項,讓使用者不自覺地下載並執行惡意程式碼。
甫於上個星期,微軟才罕見地再次緊急發佈修補檔案,防堵日益嚴重的IE 7瀏覽器安全問題。但McAfee隨即在該公司Avert Labs安全研究實驗室的部落格中指出,駭客仍可透過Word檔的Active X控制項來利用IE 7的安全漏洞。
該公司指出,他們已發現許多網站正在進行此類的攻擊,而且各種變種也相繼出現。顯見駭客正不斷創新攻擊的方式,利用社交工程的手法來讓不擅網路技術的使用者上鈎。
內嵌Active X控制項的Word檔文件,可透過垃圾郵件的方式夾帶,或是經由已被駭的網站來傳送。McAfee安全研究與傳訊總監David Marcus媒體表示,將Active X控制項內嵌於Word檔並不是新鮮事,但利用Active X控制項來偵測(ping)駭客主機的攻擊程式碼,則絕對是個創新的手法。
Marcus指出,在檔案中內嵌一個Active X控制項,控制項裡則內含暗中能讓使用者連上惡意軟體網站的方法。這是一種陰險潛伏的攻擊手法,因為當你連上駭客網站時卻不自知。
微軟的IE安全漏洞在12月9日陸續接獲回報,更糟糕的是,中國安全軟體公司還不慎將如何進行攻擊的程式碼外流。微軟隨後便開始一連串的緊急措施,包括暫時性的安全建議與緊急發佈修補檔案。
目前有多少網站遭受波及仍是個未知數,但根據許多報告指出,至少已有上千個合法網站已遭駭,並藉此隨機攻擊仍未安裝修補檔的瀏覽器。(編譯/吳曉波)
新聞來源:
ITHOME
轉貼來源
資安之眼