NEWS.COM : Dawn Kawamoto　　10/01/2005

在網路公布駭客範本程式之後，資安公司警告，Internet Explorer瀏覽器三個尚未有修補程式的安全漏洞已變得極其危險。

Secunia周五（7日）把這三個安全漏洞的警戒層級提昇到「極為危急」，是該公司最高等級。Secunia技術長Thomas Kristensen說，這三個漏洞影響IE第六版，可能讓駭客把間諜程式、色情電話撥號器等程式偷偷植入別人的電腦，再加以執行，受害者可能渾然不知。

其中一項漏洞出在HTML說明檔的控制上，12月21日GreyHats Security Group就把示範如何利用此漏洞的範本程式公告在網路上。

「我們把漏洞提昇到極為危急等級的先決條件，是外頭必須有可用的範本程式，而且是不需要使用者手動的程式，」Kristensen說：「這是本公司最高的警戒層級，也是最後一次提醒使用者亡羊補牢。」

Secunia 說，此範本程式可用來攻擊使用Windows XP作業系統的電腦，即便已安裝SP2安全更新組件，也會受影響。該公司建議民眾，在微軟發布解決問題的修補程式之前，最好先解除IE的Active X支援，以防萬一。Secunia也建議使用者改用別的瀏覽器產品。

Secunia也在安全通告中警告，另一項HTML說明控制的漏洞，一旦與拖曳的漏洞結合，可能被駭客利用來攻擊個人電腦，儘管那需要受害者合作才行。該公司早在去年10月就首度發布這三大安全漏洞的警示訊息。

「微軟早在10月就已獲知此事，」Kristensen說：「依我之見，拖了兩個月之久，特別是在外頭已把漏洞鉅細靡遺地公諸於世之後，竟然還未發布可用的修補程式，實在說不過去。」

微軟則表示，正在研究已公諸於世的範本報告，並解釋IE修補程式遲遲未發布，是因為製作有效的修補程式需要浩大的工程。

微軟一名發言人說：「安全回應需要在時機與測試之間取得平衡，而微軟只會在設計妥當並儘可能徹底測試過之後，才會發布程式更新。那可能耗時一天、一周、一個月或更久。」他強調：「就安全反應而言，不完整的安全更新，若是效果差或反倒提醒惡意駭客注意新漏洞，恐怕比全無修補程式還糟。」

微軟建議使用者查閱該公司的安全瀏覽指南，並且把網際網路安全性設定為「高」級。微軟另鼓勵民眾繼續安裝SP2以使用自動安全更新功能。

Secunia也提供線上偵測服務，讓使用者在線上測試自己的電腦是否容易受「駭」。（唐慧文）

安全專家警告，開放原始碼瀏覽器Firefox出現一種安全漏洞，可能導致使用者陷入網路釣魚（phishing）的陷阱。

資安公司Secunia周二（4日）公布Mozilla Firefox 1.0版的安全瑕疵細節。據指出，此弱點可能讓駭客在下載對話框裡的URL位址動手腳，以假亂真。使用者試圖自某網站做下載動作時，對話框即彈出。由於對話框裡的子網域與路徑的顯示不正確，會造成安全性露出破綻，給駭客趁機隱藏實際下載網址的機會。

軟體公司F-Secure防毒研究經理Mikko Hypponen說，新發現的漏洞可能害Firefox使用者遭網路惡徒欺騙。他說：「我們認為，此弱點最可能被利用來從事網路釣魚詐財。」

但要誘使受害者上當，駭客必須唆使Firefox使用者點閱電子郵件裡所附的連結，把他們帶往看似合法但實為仿冒的網站，然後從該網站下載惡意程式。

Secunia把這項安全瑕疵的嚴重程度評為五級中的第二級。

防毒公司Kaspersky Labs資深技術顧問David Emm則認為，網釣客不大可能利用Firefox這個瑕疵作亂，因為微軟的Internet Explorer仍是瀏覽器市場的主流。

「我認為，駭客不至於急著利用這種弱點，」Emm說：「畢竟Firefox的安裝率遠比IE來得小。駭客可能繼續把注意力擺在IE上。」

但過去數月來，Firefox已吸引民眾的注意力，久而久之可能造成未來局勢的改觀。

一項於去年11月底所做的市場調查報告發現，以Mozilla技術為基礎的軟體，包括Firefox在內，在11月份的瀏覽器市場拿下7.4%的占有率，比5月時的市占率上升5%。

已證實含有下載弱點的瀏覽器包括：Mozilla 1.7.3 for Linux、Mozilla 1.7.5 for Windows，以及Mozilla Firefox 1.0.。目前尚未有可得的修補程式，但Mozilla程式開發者可望在即將推出的最新版產品修補此瑕疵。

Secunia的安全通告和Mozilla的除錯報告皆可上網瀏覽。（唐慧文）

微軟公司6日宣佈，將通過Windows Update免費提供殺毒軟體Malicious Software Removal Tool，11日正式開始。

目前爲止，微軟已經免費提供了針對Blaster，Mydoom，Download.Ject等危害巨大的病毒的專殺工具，此次將集合所有單獨的專殺工具爲一個軟體提供下載。此外，新的殺毒軟體將在每月第二個星期二進行更新，以防止新病毒或現存病毒變種對系統造成威脅。不過微軟尚未明確說明這一殺毒軟體可以查殺何時爲止的病毒。

這一殺毒軟體通過Windows Update，包括Windows XP的自動更新功能提供給用戶。據稱，其中包含了2003年微軟公司收購的GeCAD軟體使用的技術。雖然軟體存在局限性，但微軟此次免費提供殺毒軟體，仍然會對安全業界有相當大的震動。