IE漏洞成了散播視窗廣告後門
CNET新聞專區：Robert Lemos　　10/06/2004




研究人員表示， 一家廣告軟體廠商利用兩個微軟IE瀏覽器中的已知漏洞，可偷偷在受害者電腦上安裝一個用來發送視窗廣告(pop-up ads)的工具列。








其中一個漏洞可讓攻擊者在受害者電腦上直接執行程式，另一個漏洞則可讓惡意程式碼執行較高等級的權限。兩個漏洞加起來後，並可讓有心人士設立一個網站，網友若連上該網站則會自動上傳並安裝程式到受害者電腦中，安全人緣如此表示。

微軟安全計畫經理Stephen Toulouse表示，利用漏洞偷偷安裝廣告軟體已經觸犯了刑事犯罪。

「任何利用漏洞來執行程式都算是犯罪行為，」他說，「我們會全力跟執法單位合作起訴採用這種作法的個人或公司。」

微軟是在週一此一問題被安全研究人員公布在Full Disclosure安全郵寄清單中後才得知此事。微軟已經通知FBI，目前已開始初步瞭解此事，Toulouse如此表示。該公司將考慮盡快推出修補檔，不會等到每月一次的更新日期。

賽門鐵克的網站上警告說，這些漏洞目前會被偷裝上一個名為I-Lookup的搜尋工具列，並會變更IE首頁，連上六個廣告網站中的任何一個，同時還會隨時跳出各種情色視窗廣告。

安全資訊小組Secunia週二公布一份該問題的建議書，並將兩個漏洞評為「極度危險」。

攻擊者僅需架好網站，透過email或即時傳訊發送連結給用戶，一旦點選後便可啟動程式直接在受害用戶電腦上執行。

最先發現此一用法的是荷蘭研究生Jelmer Kuperus表示，其中一個漏洞必須非常精通windows作業系統者才能寫得出程式。

「雖然很複雜，但使用上卻十分容易，僅需有一點電腦科學知識就可設好一個網頁，更何況下在這些程式碼都已經流落出去了。」Kuperus在email專訪中表示。「僅需變更兩三個網址就可上傳其他執行檔案。」

Kuperus表示他也是經由他人的通知才知道有這麼一個廣告木馬的存在。「我原本還相當懷疑，但一點連結就親眼見識到我的PC被裝上了廣告軟體。」

此一廣告木馬程式的網址指向I-Lookup.com搜尋引擎。經網域查證後指向i-Lookup.com是由Aztech Marketing公司所屬，但Pest Patrol公司則認為是屬於iClicks Internet所有。記者查詢兩家公司都沒獲得回應。

微軟Toulouse表示IE瀏覽器用戶可連結到微軟網站，查詢如何強化軟體更新；其他可在Windows上執行的瀏覽器，包括Opera、Mozilla，都不受該漏洞的影響。(陳奭璁)

http://taiwan.cnet.com/news/software/0,2000064574,20090089,00.htm