【业内热闻】IE惊爆严重漏洞 微软释出修补救XP

沉ジ寞

微软在官方部落格表示，这次的IE零时差漏洞出现的时间点，和XP最后一次漏洞修补时间点很近，所以破例释出XP版的IE修补程式，但下不为例
　　资安公司FireEye在一起「密狐行动（Operation Clandestine Fox）」的针对式攻击（Target Attack）中，发现一个从IE 6浏览器至IE 11版本都存在的零时差漏洞。
　　资安公司FireEye在4月26日率先揭露，该公司资安研究团队在追踪一起命名为「秘狐行动（Operation Clandestine Fox）」的针对式攻击（Target Attack）中，发现一个从IE 6浏览器至IE 11版本都存在的零时差漏洞（零时差漏洞指漏洞已存在，但尚未有修补档），骇客可以利用该漏洞执行远端攻击程式。

　　此一IE漏洞被揭露后，引起广泛注意的就是刚在4月8日退役的WindowsXP，因为XP随附的IE浏览器也在受害行列，然而微软已多次声明，自4月8日起不再针对Windows XP电脑提供技术支援，包括安全修补档。因为IE 8浏览器也随着XP而退役，自然不再获得任何安全更新，此一漏洞让XP使用者的安全问题雪上加霜。

　　有鉴于此一漏洞的严重性，许多国家立即呼吁停用IE浏览器，然而，XP使用者即使改换其他浏览器，其实也只是缓兵之计，无法根除问题。因为问题的症结在于Windows XP设计之初，网路安全问题不如今日猖獗，作业系统与浏览器的设计，并不足以抵挡潜在未知的网路攻击；所以，即便是更换为他牌浏览器，只要电脑是Windows XP，依然有很大的安全空窗；一来是世上没有一个绝对安全的浏览器，再者是Windows XP的根本设计，就没有新一代作业系统所具备的安全防护能力。

　　微软原本坚持不再对XP进行任何资安漏洞的修补，但在面对庞大的压力下，微软透过官方部落格在5月1日对外宣布，紧急修补这个IE漏洞，并基于XP处于甫退役的过渡期，因此修补范围破例包括XP作业系统（也包括微软XP嵌入式作业系统）。

　　此一事件发生后，微软在短短的5天内就提供修补档，XP作业系统的危机暂时解除，只不过，未来XP若再度出现安全漏洞问题，微软不承诺是否会再破例提供漏洞修补程式。个人与企业的电脑使用者，是否可以将个人电脑与企业资安的安全性，寄托在无法确保安全性的作业系统上，则是此次面对XP终止支援后，首度爆发IE零时差攻击时，所必须再三思考的重点。

　　骇客可利用IE漏洞，进行恶意程式挂马

　　FireEye表示，已经有发现骇客利用IE 9～IE 11浏览器这样的漏洞，针对国防、金融和能源等单位，进行锁定特定目标的针对式攻击。根据微软的说明，这个编号为CVE-2014-1776的IE漏洞，存在于IE存取记忆体中未被妥善放置或已被删除的物件，导致记忆体毁损并让骇客有机可乘。

　　进一步分析骇客的攻击手法，则是利用Flash绕过微软预设的ASLR（随机记忆体编排）和DEP（防止资料执行）保护机制，远端取得电脑的控制权限。骇客也可借此打造一个恶意网站，吸引IE使用者浏览并访问该恶意网站，透过触发这样的漏洞，进行恶意程式挂马。

　　也就是说，当电脑使用者使用有漏洞的IE浏览器浏览网站时，一旦该网站被骇客植入恶意程式，IE浏览器的漏洞就可以被触发并被植入恶意程式。不仅使用者个人电脑沦陷，也可能成为企业内部网路的资安缺口。

　　浏览器和Word漏洞是近年来最常见的漏洞型态之一，加上浏览器是每个电脑使用者都一定会使用的应用程式，台湾资安研究公司Team T5资安研究员蔡松廷表示，几乎每隔几个月，都会出现与浏览器相关的漏洞，一旦有浏览器的漏洞，都可能对于电脑使用者造成比较大的损害。

　　蔡松廷表示，目前骇客圈还没有??拿到真正利用该漏洞发动攻击的样本，所以，相关的研究资料仍掌握在微软和资安公司FireEye手中，「现阶段，还没有使用者因为使用IE浏览器，而出现大规模的受骇灾情。」他说。

　　XP不再提供修补程式，少数哥哥射ZF支付天价延长保固

　　当微软不再提供XP作业系统的漏洞修补程式，这个狠狠射IE零时差漏洞出现，也意味着还有许多使用IE浏览器以及XP电脑使用者，都曝露在高度的资安风险中。

　　依据Net Market Share网站截至2014年4月的统计数据，目前Windows 7有将近5成（49.27％）的市占率，其次为Windows XP（26.69％）和Windows 8/8.1（12.24％）。因为XP已经在4月8日终止支援，还是有将近3成的使用者因为XP不再继续提供各种更新服务，将面临更多难以掌控的资安风险。

　　这次微软出现的IE零时差漏洞，则影响到各个版本的IE浏览器，若进一步了解各个IE浏览器版本的市占率，只能运行在XP上的IE 6～IE 8浏览器市占率为24.93％，其余IE 9～IE 11的浏览器市占率则为32.35％。从这样的数据中可以发现，光是IE各版本浏览器总市占率就将近6成（57.28％）之多。对于使用IE浏览器和XP作业系统的使用者而言，这次的零时差漏洞都带来严重的资安风险。

　　有许多国家因为来不及升级到更新的版本，狠狠射只得支付大笔的金额，特地跟微软再度延长一年的漏洞修补服务。像是英国ZF还有大约2万台电脑还是XP作业系统，为了确保在完成作业系统升级前的电脑安全性，英国ZF另外支付微软大约555万英镑（约新台币2.82亿元），以延长一年（2015年4月）的保固服务。

　　除了英国，哥哥射荷兰ZF还有34,000～40,000台电脑还在使用XP作业系统，也支付数百万欧元，将微软漏洞修补服务延长到2015年1月。因此，除了少数来不及完成作业系统升级且有足够财力的单位，可以支付天价费用以延长保固外，多数XP使用者则深陷资安泥淖。

　　也因为哥哥射还有为数众多的XP使用者，在这波微软IE浏览器的零时差攻击时，像是美国国土安全部所属的US-CERT则紧急出面呼吁，http://www.lulukan.org还在使用XP作业系统的使用者，不要使用微软预设的IE浏览器，应该改用其他例如Firefox或Chrome的浏览器，以确保浏览网站的安全性。

　　微软虽然释出XP版修补程式，但下不为例

　　原本微软已经信誓旦旦，将不再针对XP上的任何资安漏洞进行修补，所有在XP上出现的各种资安漏洞，都将成为永远的零时差漏洞，也希望借此促使XP使用者升级到Windows 7或8.1等较为安全的作业系统。

　　不过，微软在经历不到一周的时间，紧急在5月1日释出IE零时差漏洞的修补程式，也包含XP版本在内。微软在官方部落格表示，http://www.dc004.com因为这次的出现的零时差漏洞，距离4月份最后一次XP漏洞修补的时间点很近，所以此次释出的IE修补程式，才破例包含XP版本在内。

　　台湾微软指出，针对此次IE弱点，该公司在第一时间就已释出紧急应变程序，狠狠射于最短时间内测试完成并释出正式的安全更新，就是希望将对使用者影响层面降至最低。在此同时，微软也透过多种策略合作方式与资讯安全伙伴合作，第一时间针对相关风险进行相关的防御处理，就是希望提供所有使用者最佳的保障。

　　但是，台湾微软再次重申说道：「微软的产品生命周期支援政策，没有因为这次提供IE零时差漏洞修补程式后，而有任何改变。」当Windows XP于今年4月8日终止支援后，微软将不再提供新的安全性更新、非安全性Hotfix、免费或付费支援服务、电话咨询、线上技术内容更新。

　　也就是说，未来使用XP作业系统的使用者，将接收不到来自微软官方，任何与XP相关的漏洞修补讯息，「除非，使用者已经升级到其他新版的作业系统，例如Windows 7或Windows 8.1等。」http://www.lulukan.org/article/?5055.html台湾微软补充表示。

　　XP已死，新版作业系统可追

　　微软Windows XP作业系统在2001年推出，当时核心是承袭自Windows 95。台湾微软表示，当年网际网路刚兴起，在产品设计上，还无法周全的考虑到，现在各种因为网路而兴起的网路犯罪与攻击手法，也因此，安全性一直是XP多年来最重要的关键点。

　　微软为了提高作业系统的安全性，在设计Windows Vista时，重新定义了安全性，例如，UAC（User Access Control，使用者存取控制）、IE的受保护模式（Protected Mode），http://www.dc004.com/newspage/news/d5904a438616ff7b.html以及应用程式也受到各种安全规范。虽然，在当年出现了许多应用软体和Vista不相容的情况，但的确为使用者提供了较高的安全保护。

　　台湾微软认为，淘汰不安全的作业系统，就像是淘汰一台20年的老车，毕竟，老车不论再怎么改装，功能和安全性也很难和现代的汽车比较。这也是微软鼓励使用者升级到Windows 7或Windows 8.1等比较新版本的作业系统与浏览器，借此提供使用者更安全的使用环境。

　　在微软释出修补程式之前，台湾趋势科技资深技术顾问简胜财表示，该公司客服同仁就接到上百通的电话，来询问如何因应这波的零时差漏洞；台湾微软则说，0800客服中心仅有接获2通询问电话，客服中心及企业业务相关同仁，已将紧急应变措施与5月1日释出的安全更新资讯告知使用者，协助解决问题。

　　另外，在这波零时差漏洞的资安事件中，也促使不少企业加速作业系统升级的速度，例如，信义房仲集团资讯长蔡祈岩则表示，该公司确认微软将于今年4月8日终止各种支援后，就已经开始积极因应。他说：「信义房仲集团大约还有1成左右的电脑还是使用XP作业系统，虽然将XP升级到Windows 7是既定的计画，当XP成为资安孤儿已经是不争的事实时，类似这样的XP资安事件，会加速信义房仲集团升级XP作业系统的速度。」

　　除了民间企业之外，有一些ZF机关也积极因应XP终止支援可能带来的各种资安风险。台北市ZF资讯局主任秘书潘琼如表示，目前资讯局还有3.7％的电脑仍使用XP，为了怕XP再发生零时差漏洞，甚至可能无法预防的情况下，她说：「资讯局部分已加速升级及汰换作业，市府其他机关，也发文请他们尽快完成升级，并在预算审核时，支持无法升级的电脑进行汰换。」



　　微软在多方压力下，终于在5月1日于官方部落格表示，将提供IE的漏洞修补程式，因为距离XP终止支援的时间很近，这次的IE漏洞修补，也包含XP版本在内。