Ｍicrosoft瀏覽器傳重大安全漏洞 美英政府呼籲用戶停用IE

微軟Internet Explorer（IE）近日傳出重大安全漏洞，影響範圍涵蓋IE6到IE11版本的瀏覽器，駭客可以掌握跟現有使用者相同的使用者權限，並利用此來控制用戶的電腦，也意味將影響到微軟本月稍早已停止支援安全性更新的作業系統Windows XP用戶。目前可能使得用戶整個電腦系統暴露在駭客的零時差惡意軟體攻擊下，美國國土安全部所屬電腦緊急應變中心US-CERT建議在微軟解決問題之前，先使用其他瀏覽器。

「Zero Day」的攻擊模式

「Zero Day」是一個遠端程式碼執行漏洞，駭客能讓目標電腦執行（特定）軟體，由於該漏洞隱藏度極高，不會給潛在受害者留下任何收到警告的時間，因此而有該命名。

Microsoft指出：「該漏洞會使記憶體崩潰，並讓攻擊者能在使用者當前使用的IE瀏覽器中執行任意程式碼。」，漏洞源自Flash，某些情境下攻擊者會建立一個特定網站來幫助「Zero Day」入侵，並會誘使IE使用者點擊該網站的連結。因此，如果使用IE瀏覽器時，收到某些附帶網頁連結的可疑的電子郵件時，就要加倍小心了。

停用IE瀏覽器及Flash外掛程式

資安公司FireEye率先披露IE的安全疏失，並宣稱美國已有部分企業受害。全球已有56%的瀏覽器受到影響，IE 9、10及11的瀏覽器版本中，允許駭客透過Flash軟體的技術漏洞來襲擊美國的金融及國防組織。

雖然Microsoft表示，IE10和IE11會預設啟動強化保護模式，這有助於使用者避免遭受該漏洞侵害。FireEye建議用戶最安全的保護方式，是儘快改用其他瀏覽器並停用IE的Flash外掛程式，或是使用安裝有微軟EMET (Enhanced Mitigation Experience Toolkit)安全防禦應用程式的IE。

Photo Credit: Jeff Wilcox CC BY 2.0

微軟已停止支援Windows XP

根據路透社和金融時報報導，微軟將推出安全性更新、修補漏洞；不過微軟本月初停止支援Windows XP系統，不會提供XP的安全修補，XP用戶的安全性將無法受到保障。因此，美國電腦緊急應變中心US-CERT建議使用者立刻採取防範措施，並使用微軟建議及Windows XP相容的保護防禦工具套件。

微軟指出：「這次調查一完成，微軟便將採取適當行動保護我們的客戶，作法可能包含依客戶需求，透過我們每月安全性更新發布程序提供解決方案，或是一次周期外安全性更新。