IE漏洞遭色情網站利用

CNET新聞專區：Joris Evers　　20/09/2006

安全專家警告，未修補的微軟IE漏洞已被不當的網站業者，包括色情網站，用來安裝惡意軟體。
安全業者表示，問題發生在IE 6處理某些圖像的方式。當使用者點入網站或電郵內的惡意連結，便會在不知情的狀況下被安裝惡意軟體。VeriSign旗下的 iDefense迅速反應小組主任Ken Dunham說：「完整更新過的IE也無法倖免。這個零時差攻擊很容易複製，並且有很大的可能在近期內大幅擴散。」

Secunia和French Security Incident Response Team兩家安全公司均將此問題列為最嚴重的等級。
間諜軟體專業防護公司Sunbelt Software研發副總Eric Sites表示，作風可疑的成人網站最先利用這個IE弱點，其中一個案例是，某個惡意網站藉此安裝「大量的廣告軟體」。
根據微軟公司的安全公告，這個IE瑕疵將在10月份的例行更新修補，但可能「根據顧客的需求」提早釋出。微軟只會在攻擊擴散時縮短更新週期。

網路安全公司Websense表示，攻擊數量可能迅速上升。該公司的聲明指出，經常被用來製作攻擊網站的工具WebAttacker，似乎已就新的弱點完成調整。Websense表示：「我們已經證實有多個、之前未知的WebAttacker網站，正在利用此弱點安裝惡意軟體。我們預期，現有的數千個WebAttacker網站，在更新最近釋出的工具組軟體後，也將開始利用這個弱點。」

微軟則表示，已經注意到這個弱點被利用。在製作更新的同時，該公司建議使用者隨時更新安全軟體，並在瀏覽網頁時保持謹慎。微軟也在公告中提供幾個保護系統的替代方法。
這個弱點出自Windows元件”vgx.dll”，其作用是支援作業系統的Vector Markup Language文件。VML是用來處理網頁上的高品質向量圖像。

這已是幾週來第二個曝光但未修補的IE安全瑕疵。上週，微軟才證實IE存在與多媒體相關的ActiveX漏洞，攻擊程式已在網路流傳，使用IE 5和IE 6的系統可能因此遭挾持。另一個已被利用的Word 2000瑕疵也尚未修補。（陳智文/譯）

轉自Taiwan.CENT.com
taiwan.cnet.com/news/software/0,2000064574,20109768,00.htm