搜尋此站:

2006-09-18

Unpatched IE Vulnerability

專門研究同發於各類型 Application 漏動o既公司 Secunia 近日公佈o左一個 Internet Explorer o既漏動. 攻擊者可以將 attack code 放o係一般網站, 當其他人瀏覽o個個網站o既時候, 攻擊者就有可能遙距咁o係受害者電腦上執行任意程式, 後果實在可大可小. Secunia 亦將個漏動評級為 "Extremely critical".

其實呢 D 漏動唔係罕見, 今次o既問題所在係 Microsoft 亦未 release 相應o既 security patch 之前, attack code 已經好可能被廣泛流傳. 理論上 attack code 只會o係 official security patch released o左之後先會被公佈作為 POC (Proof of Concept) 之用, 不過凡事總有例外, 一段可以影響到 partially-patched o既 Windows 2000 o既 attack code 已經被公佈o係某個網站 , Secunia 亦都成功整到可以影響 fully-patched o既 Windows XP SP2 o既 attack code. 其他人整到呢段 attack code 然後放上網都只係時間o既問題.

自從 Microsoft 改為一次過o係每個月o既第二個星期二 (被稱為 "Patch Tuesday") 發放整個月o既 security patch 之後, 公開o左o既漏動似乎暴露o係攻擊之中一段更長o既時間. 以今年四月 IE o個個 "createTextRange()" Code Execution 漏動做例子, 由 attack code 被公佈到 Microsoft release security patch o既時間相差成二十天之久. 攻擊者好可能利用呢一點增加攻擊可以造成o既影響. 今次呢個漏動o既 attack code 正好o係對上一個 "Patch Tuesday" 之後一兩日被公開, ZDnet o既一篇報導都指出o左呢個未必係一個巧合.

Microsoft o既 Advisory 公佈o左一堆 workarounds, 大家可以去睇睇然後跟住做. 不過其實都係不外乎叫你淨係 allow 相得過o既網站o既 active scripting/ActiveX control (呢兩個可以話係 IE 萬惡之源, 大部分嚴重o既漏動都同佢地扯上關係...), 唔好亂去 d 相唔過o既網站等等. 話明係 workarounds, 呢 d 只係 d 治標唔治本o既方法, 叫做頂住先 lor~

另一個 option 係棄用 IE, 轉用其他瀏覽器. 我推薦o既當然係 Firefox~ 唔係話佢百份百安全, 只係真係出事時佢 d update 出得快好多 je...

No comments:

Post a Comment

HTML Tags allowed (e.g. <b>, <i>, <a>)