http://taiwan.cnet.com/news/software/0,2000064574,20090509,00.htm IE漏洞不斷 對手瀏覽器看漲 CNET新聞專區： Robert Lemos and Paul Festa　　 29/06/2004 微軟IE瀏覽器中的一個重大漏洞在上週變成了其他 另類瀏覽器(諸如Mozilla與Opera)的最佳行銷機會。 為了避免遭攻擊導致資料或密碼外洩，部分安全專 家建議網友必須關閉部分IE功能，或者乾脆改用其他瀏 覽器以求一勞永逸。上週有不明攻擊者利用IE漏洞入侵 多個網頁伺服器，並會在網友電腦上偷偷安裝 JS.Scob.Trojan遠端遙控木馬程式。 「我希望微軟可盡快推出修補程式，」網際網路風 暴中心技術長Johannes Ullrich表示，「在還沒有解藥 之前，大家只有兩個選擇：關閉IE的JavaScript功能， 不然就是改用其他瀏覽器。」 根據網路安全廠商Websense的紀錄，至少有130個 網站會感染造訪的用戶，而該公司旗下客戶至少有200 個已經受害，會試圖去下載位於俄國伺服器上的惡意程 式碼。這些受害網站都不是知名大站，但卻全部都是執 行微軟Internet Information Service 5.0網路軟體與 SSL加密程式。 非微軟瀏覽器，比如Opera、Mozilla，以及 Firefox(由Mozilla基金會推出)則比較沒有這類漏洞， 且普遍傾向於僅著重在網路瀏覽功能，力求成本本身輕 薄短小，Opera軟體公司技術長Hakon Wium Lie表示。 這種作法明顯不同於微軟，微軟講究讓IE可與作業 系統作緊密的結合，一來也可避開反托拉斯議題的爭議 。微軟不願就此事發表意見。 軟體單一化的影響 外界建議用戶改用其他瀏覽器的說法也呼應了部分 安全研究人員認為軟體多元化才能改善安全的見解。許 多軟體開發人員與安全專家都曾警告過「單一栽培」 (monoculture)的危險性。此一詞彙借用自農耕領域， 意指大規模哉種同一品種將使得農作物易遭單一害蟲的 危害。 Mozilla也承認不論使用Mozilla或Opera瀏覽器， 其價值在於避免「單一化」的危險，而非因自己技術更 為優異。 根據網路分析公司WebSideStory的數據，微軟IE瀏 覽器目前佔了95%市場；Mozilla僅有3.5%，Opera更低 至0.5%。 「由於IE使用人口非常龐大，因此可說是個很明顯 的目標。」Mozilla基金會工程總監Chris Hofmann表示 。「這是撰寫攻擊程式者最喜歡的對象，因為產生的效 益最大。」 「若瀏覽器市場不是這麼單一化的話，攻擊者就很 難設計出一次可讓絕大多數人都中標的不肖程式。」 Hofmann表示。 IE成了箭靶？ 此外，安全專家也表示使用非微軟作業系統的網友 (如Linux或蘋果Mac OS)也不會受到上週攻擊事件的威 脅。 美國官方網路防衛機構US-CERT在上週五便建議安 全管理員考慮改用非微軟的瀏覽器。 「IE瀏覽器中有數個重大技術漏洞，」該建議書上 寫著，「採用其他瀏覽器將可有效降低漏洞風險，尤其 是在瀏覽未受信賴網站時。」 該建議書指出IE瀏覽器有好幾種技術都隱藏許多安 全問題，比如Active X語言程式、安全區域區分模式， 以及JavaScript。不過該組織也表示關閉部分IE功能便 能有效增加安全性。 「改用其他網路瀏覽器只是方法之一，」CERT協同 中心網路安全分析師Art Manion表示。「我們不會建議 用戶應該用哪套產品比較好，但是這樣的考量也非無的 放矢。」 CERT組織也表示即使換了非IE瀏覽器，但依然繼續 執行Windows作業系統還是有風險存在，因為Windows本 身有部分相當依賴IE功能。 Mozilla的Hofmann建議有意淘汰IE瀏覽器的 Windows用戶可先更改IE安全設定等級就可避免遭到類 似上週的攻擊。Windows的預設值是在「中」，Hofmann 表示調到「高」就應該可提供足夠的保護。 他也鼓勵網路開發人員停止在網站上使用ActiveX 。 「我們鼓勵大家不要使用這類有不少安全漏洞的專 屬技術，」Hofmann表示，「ActiveX是漏洞攻擊事件最 常被利用的地方，網站應該多站在保護用戶的立場來思 考。」(陳奭璁) -- http://www.washingtonpost.com/wp-dyn/articles/A6746-2004Jun25.html -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.204.167.208