IE新漏洞：「拖放」就染毒

[㊣肥肥㊣]

CNET新聞專區： Robert Lemos　　23/08/2004



一位獨立研究員警告，IE出現一項漏洞，可能讓使用者做「拖放」的動作就染上病毒，既使已做了Windows更新亦然。

這個漏洞影響了在Windows XP上執行的最新版IE，既使做了SP2 (Service Pack 2)更新也會受影響。利用該漏動的攻擊者，可能在詐騙使用者造訪惡意網站並點下圖片之後，就在受害的電腦上安裝程式。

攻擊者的程式可能放在Windows的「開始」（start）檔案夾裡，同時在電腦下次重新開機時開始執行該程式。發現該漏洞的安全研究員的綽號為「http-equiv」，他在網站上貼出了範例展示這個漏洞的威力。

「你看整個網頁，只看得到兩條紅線與一張圖片，你在兩條紅線間的圖片上做拖放的動作，」他表示，「你拖放的動作真正完成的卻是把一個程式拉進了『開始』檔案夾裡了。下一次你的電腦重新開機時就會執行這個程式。」

資訊安全公司Secunia認為，利用這個漏動的程式，可能簡化為只需要簡單一個點選（click）的動作。Secunia將這個漏洞等級列為「高危險」──也就是在漏洞威脅的評等中屬第二高的。

微軟表示，這個漏洞對使用者的危險性並不高，因為攻擊者需要先把人騙去造訪他們的網站，然後讓使用者在網站上做一些動作。

微軟代表表示：「由於要執行這項攻擊需要誘導使用者做很多的動作，因此微軟並不視為高危險的漏洞。」他進一步指出，微軟的安全專家也正持續在研究這個問題。

安全研究員預測，Windows Service Pack 2 (SP2)裡很快就會發現漏洞。對於已經修補完微軟最大安全更新的電腦使用者來說，這個「拖放」漏洞可能是目前為止所發現最嚴重的一個。

SP2更新原本承諾要做好系統程式碼及組態的修改，藉以提高Windows XP在處理網路資料、程式記憶體，瀏覽行為及電子郵件訊息等各方面的安全性。例如，改版過的防火牆，讓任何透過網路連上個人電腦的程式需經過特殊的允許才能執行，藉以防止惡意程式。

SP2軟體歷經了將近一年的開發時間，一般認為這也是微軟對2003年8月11日MSBlast攻擊的回應。在這個攻擊開始前26天，微軟已經發佈了修補該漏洞的安全通報，但是，既使大家已經普遍認為將有病毒利用該漏動進行攻擊，但許多人都未安裝修補程式。

諷刺的是，這一次，大部份人都沒有機會即時修補這個漏洞。這次的更新才剛在星期三正式開始，微軟也表示，需要將近一個月的時間才有辦法讓每個Windows XP使用者做好更新。

既使如此，安全專家「http-equiv」認為，微軟最新的修補程式應該會做好這個工作。

「修補程式真的對電腦有很好的保護，而且不管現在所發現的和過去幾年的有多大的不同。」他表示。(郭和杰)