※※※※※※※※※※※※※※※※※※※※※※
※※※※※※※※※※※※※※※※※※※※※※
ZDNet新聞專區:Elinor Mills 2010/01/15 11:12:01
微軟公司14日表示,近來針對Google和部分美國公司的攻擊,是利用Internet Explorer(IE)瀏覽器的一個新漏洞。
微軟以聲明表示,Google本週稍早揭露的攻擊,「Internet Explorer是其中一條路徑。截至目前,微軟尚未看到對顧客有大規模的衝擊,只有少數利用IE 6的目標性攻擊。」
這個弱點影響Windows 7、Vista、Windows XP、Server 2003、Server 2008 R2上的IE 6、IE 7和IE 8,以及Windows 2000 SP4的IE 6 SP1。
微軟表示,該漏洞在IE裡是一個無效的參考指標,但被鎖定的攻擊目標若被引誘點入電郵或即時傳訊附帶的連結,被帶往內含惡意軟體的網站,攻擊者便能控制整台電腦。
微軟在聲明中表示:「該弱點也可能讓有心人以橫幅廣告或其他方法,傳送特製的網路內容給受影響的系統。」微軟正在製作修補方案,但未說明能否趕上2月9日的例行安全更新。
微軟提醒,將IE網際網路的安全設定選在「高」,能保護使用者在執行ActiveX Controls和Active Scripting之前,免受該弱點的影響。顧客也應啟動Data Execution Prevention(資料執行防止,簡稱DEP)功能,此舉有助減輕線上攻擊。IE 8本身即預設DEP啟動,但較早的版本必須手動開啟。
微軟承認Google、Mandiant、Adobe和McAfee等同業正與他們合作,並提供詳細的攻擊資料。
14日稍早,McAfee技術長George Kurtz用一篇部落格文詳細說明這個弱點:「如同多數目標性攻擊,入侵者發送定製的攻擊給一名或少數幾名被鎖定的人,藉此進入某個組織的系統。我們懷疑,這些人之所以被鎖定,是因為他們可能有取得重要智慧財產的權利。這些攻擊會偽裝成可信任的來源,導致目標者落入陷阱,點入連結或檔案。這時,微軟IE的弱點便能發揮作用。」
他指出,惡意軟體一旦被下載和安裝,會開啟一道後門,讓攻擊者完全控制受害系統,並「執行偵察」。Kurtz寫道:「攻擊者現在能指認出高價值的目標,並開始汲取該公司重要的資料。」
Kurtz表示,許多目標性攻擊,都涉及結合社交工程(social engineering)陷阱與多種零時差弱點。「因此目前可能還有其他未知的攻擊路徑。」
調查這些攻擊的安全研究員本來以為Adobe Reader的漏洞是元兇,但Adobe表示,沒有證據顯示該公司軟體的弱點被攻擊行動利用。
Google在12日主動揭露該公司與其他美國同業被鎖定攻擊,並將源頭指向中國。Google表示,幾位人權運動者的Gmail帳號被非法闖入。
消息人士透露,有超過30家矽谷公司的軟體原始碼遭竊。Adobe也證實該公司受到目標性攻擊,而消息人士說,Yahoo、賽門鐵克、Juniper Networks、Northrop Grumman和Dow Chemical都被鎖定。
Kurtz表示,根據兩個惡意軟體檔案所包含之攻擊者的電腦檔案路徑,McAfee相信攻擊者內部將這次行動稱為"Aurora"。他寫道:「那種檔案路徑通常是由程式碼編輯者插入,用來標明開發者主機之除錯記號和原始碼的位置。」(陳智文/譯)
※※※※※※※※※※※※※※※※※※※※※※
沒有留言:
張貼留言