[新聞]微軟IE再拉警報 所有版本均陷風險:
http://www.cpro.com.tw/channel/news/con ... s_id=53984
引言:
"資安公司Determina提出警告,表示發現 微軟 IE的所有版本均隱含可能導致 阻絕式服務攻擊 的漏洞,而且由於這個漏洞會影響在Windows 2000, XP, 2003 上的所有 IE 版本甚至是最新的Vista IE7,該公司預測可能造成相當廣泛的影響。
根據Determin的安全忠告顯示,該漏洞主要問題出在一系列的 ActiveX 控制上,當特定物件屬性透過JavaScript存取時,會導致無效的記憶存取例外。此含有漏洞的ActiveX控制主要是位於MSHTML.DLL檔案上,目前該檔案存在於所有版本的IE,只要用戶瀏覽含有惡意ActiveX元件的網站便會導致瀏覽器當機。
Determina在安全警告中表示,他們已經在1月16日通知微軟關於這個漏洞的細節,並且在1月22日獲得微軟的回應,不過微軟在這份電子郵件的回應聲明中只表示,他們確實已經證實這個漏洞可能導致用戶在瀏覽某些特定的網站時被強制離開IE,不過在這個案例中,攻擊程式碼頂多只會導致IE當機,卻不會引發任意程式碼攻擊。從這份聲明中可以看出微軟不僅不正視這個問題,而且截至目前為止,微軟也沒有發佈該漏洞修補程式的計畫。
不過Determina的安全研究人員Alexander Sotirov針對以上的狀況提出了一些澄清。他表示過去幾週已與微軟人員合作研究這個軟體漏洞,同時他也同意微軟認為這個漏洞最多只會造成瀏覽器關閉的情況。因此他認為該問題應該在產品出貨前的QA階段被解決,而不須為此公布安全更新。
這次發現的IE問題將是微軟最近以來第二個被揭露的零時差問題,而在這個漏洞被揭露的同天正是微軟大舉慶祝Vista上市的日子。目前微軟正對旗下產品Word 2000保持高度警戒,以免出現其他重大漏洞。"
[新聞]ActiveX曝漏洞 逾70軟體遭牽連:
http://cpro.com.tw/channel/news/content ... s_id=53900
引言:
"丹麥資安公司Secunia警告,目前發現一種使用於 微軟 IE之 ActiveX 元件的漏洞,可能導致駭客發動遠端惡意程式執行並取得目標系統的控制權。由於該元件目前被超過20家軟體業者總計超過70種產品所使用,因此可能造成極大威脅。
由於這次所發現的漏洞是存在於第三方的元件中,Secunia認為就某部分來說,得仰賴在產品中使用NACTAudioFile2的開發人員協助保護用戶。而Secunia技術作家Ina Ragragio表示,程式開發人員不能因為該原始元件並非由自己所研發便自認為可逃避支援的責任並將問題留給原供應商解決。
目前Secunia將此漏洞風險等級列為高度重要,屬於第二高的風險等級。Secunia建議用戶可以藉由停用ActiveX的方式或使用微軟IE以外的瀏覽器以避開可能風險。"
登入
註冊
問答集
搜尋
