外傳Internet Explorer瀏覽器又發現安全漏洞，可能讓使用者暴露於網路釣魚(phishing)攻擊的風險中，連安裝最安全版Windows的用戶也難倖免。

針對安全公司Secunia指稱，IE6的這項漏洞可讓騙徒發動網釣攻擊，受影響的Windows版本包括最新安全更新版Service Pack 2及更早的版本，微軟公司17日表示已著手調查此事。

網釣攻擊通常利用這類仿冒網站，誘騙使用者以為真的上了銀行或其他正宗的網站，進而乖乖交出包含信用卡號等個人資料。

根據Secunia發布的報告，IE瀏覽器的漏洞容許詐欺者製作一個難以察覺的仿冒網站，逼真程度甚至包含偽造的SSL數位簽章。網釣客還把正牌網站的cookies挾持過來。

Secunia技術長Thomas Kristensen說：「問題是，使用者在瀏覽器裡親眼所見的，卻不能信以為真。這可能被利用來誘騙使用者在他們以為可信賴的網站上執行一些動作，但其實那些動作都遭到惡意網站記錄和控制。」

對使用者而言，後果可能很嚴重，但Secunia只把此漏洞評為「略為緊要」(moderately critical)，因為此漏洞無法被用來存取電腦網路。

對標榜SP2朝加強安全維護邁出一大步的微軟公司而言，此消息又是一記挫敗打擊。微軟發言人表示會「積極」調查此瑕疵，並強調尚未傳出使用者因此漏洞遭到攻擊的消息，同時鼓勵用戶遵照「保護你的PC」指導方針安裝防火牆、更新程式和安裝防毒軟體。

該發言人說：「調查完畢後，微軟會採取適當行動保護顧客，可能包括在每月發布更新的過程中提供修補程式，也可能另外提供安全更新，這要看顧客的需要而定。」他並提到，最新IE漏洞消息未先知會微軟，就向大眾公布，令微軟關切。

Secunia在報告中指出，新漏洞出在IE6的DHTML Edit ActiveX控制器，一旦在某些狀況下處理「execScript」的功能，就可能出問題，遭有心人士利用來在瀏覽器中執行惡意程式碼，可能讓網釣客傳發附有仿冒網站連結的電子郵件。惡意網站的URL位址可能曇花一現，緊接著就把使用者帶到被仿冒的網站。

Kristensen說：「問題是，某些傳入ActiveX控制器的資料未經妥善確認，就回傳至瀏覽器，這可能遭人用來植入程式碼，以控制在瀏覽器視窗裡顯示的畫面，同時瀏覽器以為它真的到訪受信賴的網站。」

Secunia已公告此漏洞如何運作的範例，並建議使用者在修補程式發布之前，最好先關閉ActiveX支援功能。（唐慧文）


原文摘自: Taiwan CNet