http://taiwan.cnet.com/news/software/0,2000064574,20090709,00.htm IE瀏覽器又遭發現新漏洞 CNET新聞專區：Robert Lemos　　 08/07/2004 電腦系學生發現，微軟新發布的Internet Explorer瀏覽器修補程 式仍不牢靠，有心人士只要拐個彎，照樣能在上網瀏覽網頁的使用者電 腦上作怪。 微軟上周五（2日）發布修補程式，用來修補一種瑕疵，以免駭客 利用該瑕疵與另外兩種已知的安全漏洞，經由瀏覽器入侵使用者的個人 電腦。但一名安全研究員本周找到IE瀏覽器的另一瑕疵，可讓駭客達到 相同的目的，就連微軟最新的修補程式也防堵不了。 在網路上張貼破解程式的荷蘭電腦系學生Jelmer Kuperus說：「微 軟只選擇解決一部分的問題，他們理應知道會冒出這種問題才對。」 這是短短一個月內，微軟必須第三度和公開抖出IE安全問題的研究 員鬥智。6月初，Kuperus發現某個網站利用之前未曝光的IE弱點，加上 最近微軟已修補過的一個漏洞，在受害者的電腦上安裝廣告軟體 （adware）。緊接著，上周安全研究人員又發現另一個比較輕微、微軟 已修補過的老毛病，又在新版瀏覽軟體上重現。 針對新發現的瑕疵，微軟坦承不諱，並表示近日內會發布更多的修 補程程式。 「本公司正著手準備一系列的IE安全更新程式，數周內會發布，將 提供用戶額外的保護，」微軟發言人對CNET News.com說：「本公司也 將繼續積極調查這些報導。」 最新發現的瑕疵其實並不新，早在今年1月就有安全人員提出來討 論，Kuperus說。起初，這個問題被視為微不足道，但實際上卻很嚴重 ，因為駭客可能把它拿來與6月間發現的其他兩種弱點合而運用，便能 輕易擅闖安裝IE瀏覽器的Windows電腦。 「我們今天所見的駭客攻擊，都是利用多重的弱點，每一種都迴避 IE某個特定的安全功能，」Kuperus說：「個別來說，這些問題通常多 半無害，但合起來卻構成重大威脅。」 這三種先後發現的弱點，都出自於一套元件和描述功能程式庫，稱 為ActiveX。比較早發現的瑕疵隱含在ADODB.Stream之中，新發現的瑕 疵則潛伏於Application.Shell元件。 IE冒出的瑕疵不勝枚舉，導致有的安全專家索性建議使用者改用別 的瀏覽器。就連美國電腦緊急應變小組官員，也建議安全管理員考慮改 用非微軟瀏覽器。 微軟則建議使用者上微軟網站查閱最新的資訊。 （唐慧文） -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.204.167.208 ※ 編輯: smileliving 來自: 203.204.167.208 (07/08 16:56)