又有零時差漏洞(zero-day)!日前,資安公司Rapid7發現微軟IE瀏覽器存在零時差安全漏洞,為此,微軟改變了更新程式的發佈時間,原本預計在10/9發布每月定期更新,如今提前到9/21發布IE緊急安全更新,修補了該零時差漏洞以及另外4個漏洞。
微軟將此更新列為重要 (critical)等級,即其威脅性屬於最高等級。該修補程式包含的另外四個非零時差漏洞中,有三個存在於IE9,第四個則影響IE7和IE8,至於這次發現的零時差漏洞則存在於IE6、IE7、IE8和IE9,影響的作業系統包括Windows XP、Vista和Windows 7等版本,唯一倖免的僅有Windows 8上的IE 10。
Rapid7指出,已經發現駭客利用該零時差漏洞進行攻擊,一旦使用者透過IE連上含有惡意程式的網站,駭客就能取得電腦控管權限,進而展開遠端攻擊,在微軟釋出安全更新之前,使用者最好改用Chrome、Firefox等其他瀏覽器。
在Rapid7發出聲明後不久,微軟也發表公告表示,確實已發現針對此IE漏洞的攻擊行為,並在公告後一周內發布安全更新MS12-063,以防止更大的損害發生。
值得注意的是,MS12-063是微軟今年以來,首度針對IE發布的例外(out of band)更新,也是繼2010年9月之後的第一次。若是針對零時差漏洞而發布的緊急更新,距離上一次是在2010年1月,即修補極光 (Aurora)木馬利用的零時差漏洞,已經隔了近兩年,也顯示出此新漏洞的嚴重性。
由於IE10沒有受此零時差漏洞影響,加上微軟很快發佈更新程式,導致外界質疑微軟早就知情。nCircle Secrurity安全營運部門總監Andrew Storms推測,微軟可能早就已經知道該漏洞的存在,這也可以解釋為何其修補效率如此迅速。
此次事件也讓IE瀏覽器安全性問題再度受到關注,趨勢科技資安專家Rik Ferguson 分析,如果單以漏洞數量來看,三大瀏覽器Microsoft Internet Explorer、Google Chrome和Mozilla Firefox,IE的漏洞數量相對較少,以2011年為例,Chrome、Firefox和IE的新漏洞通報數量分別為275、97和45個,若進一步針對零時差漏洞來看,Chrome與IE均有6個,Firefox 則是4個。
Rik Ferguson認為,每一種瀏覽器都有弱點、漏洞,無法確保百分之百的安全,而且越來越多攻擊會鎖定跨平台瀏覽器通用的外掛程式,而且不僅針對瀏覽器本身,也可能根據使用行為而設計,如網路釣魚(Phishing)、假冒知名網站等攻擊手法。他建議使用者,最好選擇自己最熟悉的瀏覽器,但要採取適當的安全措施,並且需要對瀏覽器、技術或威脅特性有所熟悉,才能有效保護自己,若貿然改用其他不熟悉的瀏覽器,反而可能會暴露於更大的風險中。