CNET新聞專區：Robert Lemos　　2004/12/30

網路駭客放出一種可以感染Windows XP個人電腦的木馬病毒（Trojan horse），這隻病毒會安裝可遙控受害電腦的程式。

這個程式名為Phel──是由Help一字的字母重組而來，使用者透過IE的「說明」功能而上到藏有惡意病毒的網站時就會受到感染，賽門鐵克在本週裡提出如此的警告。同時賽門鐵克也表示，這個惡意程式裡的臭蟲可能會讓它無法感染某些電腦。

這隻特洛伊木馬利用了十月間所發現的一個漏洞──也就是IE及Windows XP SP2在處理網頁的說明檔呼叫時的漏洞。

但這個漏動和上週中國的安全公司所說的說明檔漏洞並不相關。針對上週的這個漏洞，微軟指謫這家中國的安全公司不負責任的公佈漏洞，讓微軟沒有機會開發修補的程式。

「微軟針對Phel的惡意程式做法律責任的分析，將與執法單位合作找出相關的惡意活動，並將相關人員繩之以法。」微軟發言人表示。

但微軟尚未針對10月間以及上週的漏洞發表修補程式，微軟表示，其程式設計師正努力在解決該問題。

「微軟非常重視這個漏洞，目前正在開發修補漏洞的更新程式。」微軟發言人表示。「開發與測試完成之後我們就會發表安全更新，更新程式將可以有效的修補該漏洞。」

2004年裡微軟在維護IE瀏覽器的安全上遇到了很大的問題。結果是，讓免費的開放原始碼瀏覽器Firefox拿下了市場佔有率。安全專家已經建議電腦使用者要考慮使用其他的瀏覽器，而一些學校也在教導學生使用非微軟的瀏覽器。(郭和杰)

CNET新聞專區：授權採用NYTimes文章 Randall Stross　　31/12/2004

Firefox是所謂「十年寒窗，一夕成名」的典型範例。

由非營利機構Mozilla基金會所發布，仰賴成千上萬名自動自發的程式設計師之長，Firefox開放原始碼網頁瀏覽器執行速度快，而且許多功能是微軟龐大笨重的Internet Explorer所欠缺的。Firefox一下子就安裝妥當，而且不花一毛錢。

Firefox 1.0在11月9日推出，短短一個月內，該基金會就慶祝達到一個重要的里程碑：下載次數達到1,000萬次。迷哥迷姊慷慨解囊，樂捐出一筆錢，在紐約時報刊登兩版的****。

之前，最知名的、足以在技術上挑戰微軟巨人的開放原始碼計畫，當屬Linux作業系統。Linux也是免費的軟體，隨著參與錯誤回報與除錯的使用者增多而日益精進。但除非你是企業資料中心採購計畫的把關者，否則不大可能覺得自己有必要試用Linux。

隨著Firefox問世，開放原始碼軟體從後端辦公室乏人聞問的幕後，進駐到你家乃至於你父母的家(你在念大學的子女早就用了)。Firefox經過修飾、改良，如IE一樣容易上手，而且更令人難以抗拒的是，對病毒、蠕蟲和間諜程式的防禦力強太多了。

微軟總是把IE與Windows的緊密整合視為別具吸引力的特色，但那是在安全性尚未演變成當務之急的時候。Firefox體態輕盈，安置於Windows 平台之上，與底下的作業系統隔了一層，套句Mozilla基金會會長Mitchell Baker的話說，那構成「天然屏障」。

這是歷年來IE市占率首度流失。根據阿姆斯特丹全球資訊網分析公司OneStat.com在11月下旬所做的調查報告，IE的市占率已跌到89%，比5月時減少5個百分點。Firefox如今奪下將近5%的市場大餅，而且勢力範圍仍在擴張之中。

微軟Windows產品管理經理Gary Schare奉派接下這樁吃力不討好的任務，即解釋微軟面對應Firefox來勢洶洶，該怎麼以一個上回更新功能是在三年前的產品來反擊。他表示，IE現在的使用者若是考慮到「所有促使他們選用IE的因素」，就會繼續使用。選擇？有沒有搞錯。IE不是和Windows」綁在一塊的嗎？

Schare說，Mozilla的Firefox必須證明能順利地從1.0版邁向2.0版，目前為止不過是享受「免費搭便車」。

但話鋒一轉，Schare也宣稱，他和微軟都樂見Firefox加入「龐大的(Windows支援軟體)生態系」。事實上，Firefox保持中立，除Windows外也支援Mac和Linux。

Schare也許是微軟正式的發言人，但他自己私下也不用IE。他用的是Maxthon，由同名的一家小型軟體公司發布。此瀏覽器使用IE的引擎，但提供多種IE所無的功能。他說：「Tabs功能最讓我著迷。」意指可在單一視窗內開啟許多不同網站，且能輕鬆穿梭其間的功能，而不是像IE那般，每個網站都必須逐一開啟視窗，佔用電腦的記憶體。Firefox也有tabs，其他瀏覽器也一樣。但受基本設計抉局限，IE無法加入這項功能，除非把Windows徹底更新才行，但下一版Windows最快也要等到2006年才會完工。

微軟陷入這種困境，可能是風水輪流轉。1995年末，當時Netscape Navigator還是全球資訊網的同義詞，而IE尚未吸引多少採用者。微軟於是做了一個冒險、但事後證明是明智的策略決定，即由下而上徹底翻新IE的程式碼，套句行話就是「重新架構」( re-architecting)。誠如麻省理工學院的Michael A. Cusumano和哈佛大學的David B. Yoffie在1998年出版的《網際網路競爭：網景與微軟大戰的教訓》一書中所言，那個決定雖導致IE 3.0版延後推出，但卻產生技術上遠遠超越網景Navigator的成品。在第一次瀏覽器大戰中，比較強的瀏覽器勝利。

今天，換成IE的程式碼年久失修，有待從頭到尾重新設計，把安全性當作內部不可或缺的一環。相形之下，Firefox是程式碼嶄新、乾淨的挑戰者。網景把自家軟體贈予非營利性質的Mozilla基金會，後者循開放原始碼模式，展開為期三年的改造工程。Firefox便是建立在Mozilla的基礎上。

然而，微軟所能提供IE使用者的，只是零零碎碎的程式更新和安全補釘。微軟聲稱為重大安全改良的Windows XP更新組件第二版（SP2）會顯示一則訊息，即使用者若在IE做了某個動作觸動ActiveX小程式下載，可能導致那個程式控制你的電腦，最慘的情況是硬碟資料被消除。「使用者仍得根據訊息做決定，」Schare說。但若是用Firefox，使用者無須每遇上這類小程式就得做決定，因為預設環境一律把它們阻擋在外。

安全議題權威兼Counterpane Internet Security技術長Bruce Schneier毫不保留他對微軟誇稱IE已改良的不滿。他說：「當我母親看到『你想下載這個程式嗎？』，她當然會說要。微軟提供這麼些工具，讓你自己上弔，等到出事了就說是你自己的錯，實在很虛偽。」他耳提面命地勸客戶(和他的老母)：「別再用微軟Internet Explorer，就是這麼簡單。」他一直用Opera瀏覽器，但試用過Firefox後，宣告這是「很棒的替代品」。

本月，賓州大學以安全問題揮之不去為由，建議該校學生和教職員停用IE。聲明中說：「種種威脅相當棘手，況且已有替代選擇。」

網際網路技術日新月異，IE程式碼是在「古早」的年代寫成，當時少有人考量到要防範惡徒入侵。受陷於此，微軟能做的有限。該公司並未提供新的獨立版IE，相反地，死忠用戶必須下載、安裝最新版的SP2。那需要有Windows XP。對於仍在用舊版Windows而且想繼續使用IE的人士而言，不啻是進退兩難。

Schare則對無法使用SP2加強安全性的用戶有個建議：買一台全新的個人電腦。若依此推論，那麼汽車門鎖壞了產生安全問題，就得買一輛新車來解決嗎？但汽車比喻直接出自Schare之口，他說：「這就像買車，若你想得到最新的安全功能，就得買最新款的。」

照這種說法，最新的是2004年款的Firefox，而不是2001年款的Internet Explorer。