根據芬蘭一家電腦安全公司表示,微軟IE瀏覽器中的一個漏洞會在使用者下載檔案時,誤判檔案的屬性而直接開啟執行檔,進而使得駭客得以輕易地在受害者電腦中植入後門程式。
這家名為Oy Online Solution的公司指出,駭客可以利用特定的網址與HTTP表頭,讓下載的畫面中出現的副檔名與實際副檔名不符。使用者可能以為下載的是媒體檔案,事實上卻是個精心設計的後門程式;更嚴重的情況,則是IE不會顯示任何訊息,後門程式卻已經悄悄地安裝完畢,並且開始運作。駭客可以此任意進出受害者的電腦,以發動分散式的阻斷服務攻擊、格式化硬碟、或是散佈病毒。
Oy Online Solutions的總經理傑基•薩爾米(Jyrki Salmi)表示,微軟在十一月底就已知悉此事,但當時卻不以為意;不過現在「微軟已經將初版的修正程式寄給我們測試,預計在下週即可正式推出。」薩爾米說;但他拒絕說明為何微軟改變了心意。
這漏洞所影響的版本包括了IE 5.0、5.5、以及6.x。薩爾米建議使用者在升級程式推出前,暫緩所有的下載作業。
我想這是很嚴重,竟然連舊版5.0都有問題,而微軟到十一月才知道
只能說使用微軟的東西一點保障都沒有,大家要自求多福
微軟日前公布IE 5.5、6.0版瀏覽器和伺服器軟體的修補程式,
呼籲網友儘快下載,以防止駭客從漏洞偷取使用者密碼及誘騙使用者下載有毒檔案。
Update for Internet Explorer 6.0
Update for Internet Explorer 5.5 SP2
From:Oldgod
書籤