|
马上注册,结交更多好友,享用更多功能^_^
您需要 登录 才可以下载或查看,没有账号?立即注册
x
微软在官方部落格表示,这次的IE零时差漏洞出现的时间点,和XP最后一次漏洞修补时间点很近,所以破例释出XP版的IE修补程式,但下不为例
资安公司FireEye在一起「密狐行动(Operation Clandestine Fox)」的针对式攻击(Target Attack)中,发现一个从IE 6浏览器至IE 11版本都存在的零时差漏洞。
资安公司FireEye在4月26日率先揭露,该公司资安研究团队在追踪一起命名为「秘狐行动(Operation Clandestine Fox)」的针对式攻击(Target Attack)中,发现一个从IE 6浏览器至IE 11版本都存在的零时差漏洞(零时差漏洞指漏洞已存在,但尚未有修补档),骇客可以利用该漏洞执行远端攻击程式。
此一IE漏洞被揭露后,引起广泛注意的就是刚在4月8日退役的WindowsXP,因为XP随附的IE浏览器也在受害行列,然而微软已多次声明,自4月8日起不再针对Windows XP电脑提供技术支援,包括安全修补档。因为IE 8浏览器也随着XP而退役,自然不再获得任何安全更新,此一漏洞让XP使用者的安全问题雪上加霜。
有鉴于此一漏洞的严重性,许多国家立即呼吁停用IE浏览器,然而,XP使用者即使改换其他浏览器,其实也只是缓兵之计,无法根除问题。因为问题的症结在于Windows XP设计之初,网路安全问题不如今日猖獗,作业系统与浏览器的设计,并不足以抵挡潜在未知的网路攻击;所以,即便是更换为他牌浏览器,只要电脑是Windows XP,依然有很大的安全空窗;一来是世上没有一个绝对安全的浏览器,再者是Windows XP的根本设计,就没有新一代作业系统所具备的安全防护能力。
微软原本坚持不再对XP进行任何资安漏洞的修补,但在面对庞大的压力下,微软透过官方部落格在5月1日对外宣布,紧急修补这个IE漏洞,并基于XP处于甫退役的过渡期,因此修补范围破例包括XP作业系统(也包括微软XP嵌入式作业系统)。
此一事件发生后,微软在短短的5天内就提供修补档,XP作业系统的危机暂时解除,只不过,未来XP若再度出现安全漏洞问题,微软不承诺是否会再破例提供漏洞修补程式。个人与企业的电脑使用者,是否可以将个人电脑与企业资安的安全性,寄托在无法确保安全性的作业系统上,则是此次面对XP终止支援后,首度爆发IE零时差攻击时,所必须再三思考的重点。
骇客可利用IE漏洞,进行恶意程式挂马
FireEye表示,已经有发现骇客利用IE 9~IE 11浏览器这样的漏洞,针对国防、金融和能源等单位,进行锁定特定目标的针对式攻击。根据微软的说明,这个编号为CVE-2014-1776的IE漏洞,存在于IE存取记忆体中未被妥善放置或已被删除的物件,导致记忆体毁损并让骇客有机可乘。
进一步分析骇客的攻击手法,则是利用Flash绕过微软预设的ASLR(随机记忆体编排)和DEP(防止资料执行)保护机制,远端取得电脑的控制权限。骇客也可借此打造一个恶意网站,吸引IE使用者浏览并访问该恶意网站,透过触发这样的漏洞,进行恶意程式挂马。
也就是说,当电脑使用者使用有漏洞的IE浏览器浏览网站时,一旦该网站被骇客植入恶意程式,IE浏览器的漏洞就可以被触发并被植入恶意程式。不仅使用者个人电脑沦陷,也可能成为企业内部网路的资安缺口。
浏览器和Word漏洞是近年来最常见的漏洞型态之一,加上浏览器是每个电脑使用者都一定会使用的应用程式,台湾资安研究公司Team T5资安研究员蔡松廷表示,几乎每隔几个月,都会出现与浏览器相关的漏洞,一旦有浏览器的漏洞,都可能对于电脑使用者造成比较大的损害。
蔡松廷表示,目前骇客圈还没有??拿到真正利用该漏洞发动攻击的样本,所以,相关的研究资料仍掌握在微软和资安公司FireEye手中,「现阶段,还没有使用者因为使用IE浏览器,而出现大规模的受骇灾情。」他说。
XP不再提供修补程式,少数哥哥射ZF支付天价延长保固
当微软不再提供XP作业系统的漏洞修补程式,这个狠狠射IE零时差漏洞出现,也意味着还有许多使用IE浏览器以及XP电脑使用者,都曝露在高度的资安风险中。
依据Net Market Share网站截至2014年4月的统计数据,目前Windows 7有将近5成(49.27%)的市占率,其次为Windows XP(26.69%)和Windows 8/8.1(12.24%)。因为XP已经在4月8日终止支援,还是有将近3成的使用者因为XP不再继续提供各种更新服务,将面临更多难以掌控的资安风险。
这次微软出现的IE零时差漏洞,则影响到各个版本的IE浏览器,若进一步了解各个IE浏览器版本的市占率,只能运行在XP上的IE 6~IE 8浏览器市占率为24.93%,其余IE 9~IE 11的浏览器市占率则为32.35%。从这样的数据中可以发现,光是IE各版本浏览器总市占率就将近6成(57.28%)之多。对于使用IE浏览器和XP作业系统的使用者而言,这次的零时差漏洞都带来严重的资安风险。
有许多国家因为来不及升级到更新的版本,狠狠射只得支付大笔的金额,特地跟微软再度延长一年的漏洞修补服务。像是英国ZF还有大约2万台电脑还是XP作业系统,为了确保在完成作业系统升级前的电脑安全性,英国ZF另外支付微软大约555万英镑(约新台币2.82亿元),以延长一年(2015年4月)的保固服务。
除了英国,哥哥射荷兰ZF还有34,000~40,000台电脑还在使用XP作业系统,也支付数百万欧元,将微软漏洞修补服务延长到2015年1月。因此,除了少数来不及完成作业系统升级且有足够财力的单位,可以支付天价费用以延长保固外,多数XP使用者则深陷资安泥淖。
也因为哥哥射还有为数众多的XP使用者,在这波微软IE浏览器的零时差攻击时,像是美国国土安全部所属的US-CERT则紧急出面呼吁,http://www.lulukan.org还在使用XP作业系统的使用者,不要使用微软预设的IE浏览器,应该改用其他例如Firefox或Chrome的浏览器,以确保浏览网站的安全性。
微软虽然释出XP版修补程式,但下不为例
原本微软已经信誓旦旦,将不再针对XP上的任何资安漏洞进行修补,所有在XP上出现的各种资安漏洞,都将成为永远的零时差漏洞,也希望借此促使XP使用者升级到Windows 7或8.1等较为安全的作业系统。
不过,微软在经历不到一周的时间,紧急在5月1日释出IE零时差漏洞的修补程式,也包含XP版本在内。微软在官方部落格表示,http://www.dc004.com因为这次的出现的零时差漏洞,距离4月份最后一次XP漏洞修补的时间点很近,所以此次释出的IE修补程式,才破例包含XP版本在内。
台湾微软指出,针对此次IE弱点,该公司在第一时间就已释出紧急应变程序,狠狠射于最短时间内测试完成并释出正式的安全更新,就是希望将对使用者影响层面降至最低。在此同时,微软也透过多种策略合作方式与资讯安全伙伴合作,第一时间针对相关风险进行相关的防御处理,就是希望提供所有使用者最佳的保障。
但是,台湾微软再次重申说道:「微软的产品生命周期支援政策,没有因为这次提供IE零时差漏洞修补程式后,而有任何改变。」当Windows XP于今年4月8日终止支援后,微软将不再提供新的安全性更新、非安全性Hotfix、免费或付费支援服务、电话咨询、线上技术内容更新。
也就是说,未来使用XP作业系统的使用者,将接收不到来自微软官方,任何与XP相关的漏洞修补讯息,「除非,使用者已经升级到其他新版的作业系统,例如Windows 7或Windows 8.1等。」http://www.lulukan.org/article/?5055.html台湾微软补充表示。
XP已死,新版作业系统可追
微软Windows XP作业系统在2001年推出,当时核心是承袭自Windows 95。台湾微软表示,当年网际网路刚兴起,在产品设计上,还无法周全的考虑到,现在各种因为网路而兴起的网路犯罪与攻击手法,也因此,安全性一直是XP多年来最重要的关键点。
微软为了提高作业系统的安全性,在设计Windows Vista时,重新定义了安全性,例如,UAC(User Access Control,使用者存取控制)、IE的受保护模式(Protected Mode),http://www.dc004.com/newspage/news/d5904a438616ff7b.html以及应用程式也受到各种安全规范。虽然,在当年出现了许多应用软体和Vista不相容的情况,但的确为使用者提供了较高的安全保护。
台湾微软认为,淘汰不安全的作业系统,就像是淘汰一台20年的老车,毕竟,老车不论再怎么改装,功能和安全性也很难和现代的汽车比较。这也是微软鼓励使用者升级到Windows 7或Windows 8.1等比较新版本的作业系统与浏览器,借此提供使用者更安全的使用环境。
在微软释出修补程式之前,台湾趋势科技资深技术顾问简胜财表示,该公司客服同仁就接到上百通的电话,来询问如何因应这波的零时差漏洞;台湾微软则说,0800客服中心仅有接获2通询问电话,客服中心及企业业务相关同仁,已将紧急应变措施与5月1日释出的安全更新资讯告知使用者,协助解决问题。
另外,在这波零时差漏洞的资安事件中,也促使不少企业加速作业系统升级的速度,例如,信义房仲集团资讯长蔡祈岩则表示,该公司确认微软将于今年4月8日终止各种支援后,就已经开始积极因应。他说:「信义房仲集团大约还有1成左右的电脑还是使用XP作业系统,虽然将XP升级到Windows 7是既定的计画,当XP成为资安孤儿已经是不争的事实时,类似这样的XP资安事件,会加速信义房仲集团升级XP作业系统的速度。」
除了民间企业之外,有一些ZF机关也积极因应XP终止支援可能带来的各种资安风险。台北市ZF资讯局主任秘书潘琼如表示,目前资讯局还有3.7%的电脑仍使用XP,为了怕XP再发生零时差漏洞,甚至可能无法预防的情况下,她说:「资讯局部分已加速升级及汰换作业,市府其他机关,也发文请他们尽快完成升级,并在预算审核时,支持无法升级的电脑进行汰换。」
微软在多方压力下,终于在5月1日于官方部落格表示,将提供IE的漏洞修补程式,因为距离XP终止支援的时间很近,这次的IE漏洞修补,也包含XP版本在内。 |
|