瀏覽器漏洞成攻擊新管道

怎麼也沒想到上網看Jpeg圖也會"中獎"吧? 惡夢真的在IE上發生了

有玩線上遊戲的注意了, 如果IE的這些漏洞沒補起來, 跑去被駭客入侵的遊戲官方網站登入, 帳號密碼就很有可能被駭喔... 另外, 因為漏洞的關係, 居心不良者可以靠漏洞來完全偽造網址而不會被你察覺, 你以為你去了官網, 銀行, Yahoo!拍賣, 或是paypal帳號, 其實已經上鉤啦... 被釣到偽造的網站去了....

所以請小心為妙, 請千萬記得要自行更新IE, 如果你沒有設自動更新的話...


==============================

記者洪夢霜╱台北報導　　22/12/2004
友善列印 Email文章給朋友 儲存文章

安全公司指出，瀏覽器漏洞成為最新的熱門網路病毒攻擊途徑，其中又以微軟IE為甚。

就在企業完成在伺服器、桌上型電腦以及閘道端上的防毒部署作業之後，鎖定瀏覽器漏洞（現以微軟IE為主）而來的駭客攻擊行為增多，顯示出HTTP傳輸協定將成為病毒攻擊新途徑。

根據英國安全業者ScanSafe公司的報告中指出，微軟IE網頁瀏覽器的一項安全漏洞，在今年第二季遭駭客攻擊的次數居冠，透過該安全漏洞，駭客程式將可為受害者電腦執行下載並安裝惡意程式。




目前所發現攻擊IE瀏覽器弱點次數最多的駭客程式為Exploit.HTML.Mht。

趨勢科技亞太區產品行銷經理李淳熙表示，過去走HTTP協定的病毒感染模式，主要透過網路電子郵件信箱(Web mail)為途徑，但已逐漸出現變化為透過IE瀏覽器漏洞進行攻擊。

透過IE瀏覽器漏洞而來的攻擊方式，主要是將病毒碼隱藏在JPG圖檔中，當使用者以IE開啟瀏覽內含該圖片的網頁時，便會因為圖檔自動開啟的動作，而被植入病毒乃至於間諜軟體、後門程式等惡意程式碼。

在微軟於十月底所公布的22個漏洞中，有5個被評定為「危急」等級，其中3個便針對IE而發。

近日IE 6則出現可能引發網路釣魚詐騙事件的新漏洞。

該漏洞出現在IE6的DHTML Edit ActiveX控制器，一旦在某些狀況下處理「execScript」的功能，就可能出問題，遭有心人士利用來在瀏覽器中執行惡意程式碼，讓網釣客傳發附有仿冒網站連結的電子郵件，惡意網站的URL位址可能曇花一現，緊接著就把使用者帶到被仿冒的網站。

受該漏洞影響的Windows版本包括最新安全更新版Service Pack 2及更早的版本。

李淳熙說，透過瀏覽器弱點而來的攻擊方式將會越來越常見，並將因為企業對HTTP、FTP等協定通道的防護疏忽，而遭受嚴重影響。他說，現階段企業主要的防毒佈建仍著眼在伺服器、桌上型用戶端以及針對SMTP、POP3所設立的閘道端防毒，病毒將以HTTP流量趁虛而入。

趨勢科技建議，防禦方式除佈建提供HTTP、FTP等協定的防護軟體外，更應下載漏洞更新程式以進行徹底防堵。

來源: Taiwan CNet

http://taiwan.cnet.com