微軟IE7.0有漏洞 逾200萬電腦中毒

自由時報
〔編譯陳成良、記者王珮華、陳炳宏／綜合報導〕微軟Internet Explorer瀏覽器7.0版本（IE 7.0）驚傳出現程式漏洞，而且在還沒有釋出修補程式之前，已有中國安全軟體公司不慎將攻擊程式流出，並被駭客用來攻擊。英國每日郵報十六日報導，已知全球有超過二百萬台電腦因此遭到感染，後續影響可能持續擴大。

微軟：兩天內提供修補程式

台灣微軟表示，國內目前僅有五個客戶打電話詢問，多為終端消費者，至今未有進一步災情傳出。微軟的修補程式正在進行最後測試，最快一兩天內就會公佈在微軟資訊安全平台上。

但專家表示，Windows作業系統支援的所有版本IE瀏覽器，均可能會因此受影響，內嵌IE核心的軟體，如Office系統軟體、Outlook等，也可能受到此漏洞影響。對火狐（FireFox）、Opera、Chrome、Safari等其他瀏覽器則未構成威脅。

美國安全公司SANS稍早表示，一些駭客已對全球數千個合法網站發起攻擊，並上傳相應惡意程式，試圖利用IE 7.0此一重大安全漏洞發起攻擊，預計今後數天，甚至數週內，此類攻擊數量將急遽增加。另一家美國資安業者Websense則表示，駭客已成功入侵一家中國主機板廠商網站，目的是在那些訪問該網站的網友電腦上安裝惡意軟體，以竊取網友的遊戲帳號。

中國駭客入侵竊取遊戲密碼

防毒軟體業者趨勢科技指出，已有一萬個網站因此遭入侵，其中大部份是中文網站，一些中國駭客利用這個安全漏洞來竊取用戶遊戲帳號密碼，然後拿到黑市販售，據稱駭客可將這些密碼售予狂熱的電腦玩家，從中獲益九千英鎊（約台幣四十五萬五千元）。

玩家表示，此一攻擊其作用原理是利用使用者上掛有木馬的網站後，先利用網頁指令，讓使用者下載該木馬程式，然後再讓使用者讀取ＸＭＬ（一種國際通用的標記語言，用於網頁技術），去執行該木馬程式；由於不是直接下載後並執行該木馬程式，而是間接讓IE安全性設定在不知情的狀況下，未對木馬程式進行任何防護。

網路專家建議電腦用戶，近期最好改用別種瀏覽器。另一個方法是，暫時修改IE「網際網路選項」中的「安全性項目」，將「網際網路與近端內部網路」改為「高安全性」，以要求IE在執行Active X控制項和Active Scripting程式碼時，能先行提示。


BBC新聞
微軟緊急發布IE漏洞官方更新
微軟IE瀏覽器
微軟針對IE瀏覽器漏洞發布了緊急更新

針對近日發現的容易讓駭客入侵的Internet Explorer瀏覽器安全漏洞，微軟公司已緊急發佈安全更新"MS08-078"。

網際網路安全專家表示，目前已有超過1萬個網站站點因IE漏洞而被劫持，訪問這些站點的用戶都將被帶往"有毒"網站。

微軟要求所有IE用戶及時下載並安裝這個緊急更新，以確保用戶電腦安全。

微軟此前在官方網站發佈公告，確認IE 7.0瀏覽器中新發現了一個嚴重漏洞，該漏洞存在於所有版本的瀏覽器當中--即從IE 5.0版本到IE 8 beta 2版本--都受到影響。

不過，目前受影響最大的是IE 7.0版本用戶。

微軟公司的聲明說，緊急更新MS08-078將保護用戶不受駭客的襲擊。

微軟安全響應中心主管里維說，如果Windows用戶開啟了安全自動升級功能，則MS08-078補丁將自動安裝到用戶機器當中。

他說，這個更新將在今後幾天裡通過安全自動升級功能，將緊急更新下載並自動安裝在數以百萬計的用戶電腦上。

此前網際網路專家建議電腦用戶近期最好換用其它瀏覽器，直到微軟發佈該漏洞的更新程序。

專家稱，用戶在上網時，電腦不知不覺中毒，駭客就可達到竊取用戶個人信息之目的。

電腦安全專家表示，就目前而言，駭客利用微軟IE 7.0瀏覽器漏洞主要是想竊取玩家的遊戲賬號。

趨勢科技安全專家費格森說，該漏洞有可能被駭客用於經濟犯罪，這更加令人擔心。

BBC繁體中文網用的是大陸用語,我將其中一些用語改成台灣這邊習慣用語
昨天我還在跟IE的CSS搏鬥,想不到網路世界有更駭人的新聞
使用IE5-IE8的巴友們記得去做更新!
出包的是中國的「知道安全」（KnownSec）公司