計世網消息 當地時間本週三，英國安全廠商 MessageLabs公司表示，欺詐犯罪分子已經開發出一種有效的新型電腦軟體，能夠通過誘諞用戶打開一封惡意電子郵件，竊取用戶的網路銀 行資料。
　　該軟體可能成為“網釣”欺詐者最喜愛的工具使得MessageLabs公司的安全技術專家們表示擔心。過去的“網釣”欺詐活動必須使受害者完成一個比較繁瑣的步驟——打開惡意電子郵件並打開其中的附件或URL檔。但現在用戶只要打開一個“似乎清白”的電子郵件，欺詐活動將開始進行。
　　MessageLabs公司表示，該惡意軟體在上周就已經傳播到了互聯網上，只不過數量比較少。它說，該軟體目前只是指向巴西的 Caixa、Unibanco、Bradesco三家銀行，但令人擔心的是，經過修改後它能夠指向任何一家網路銀行。MessageLabs公司的發言人說，儘管我們只截獲了約30份拷貝，從數量上來說比較少，但人們需要警惕的是它很可能是新一輪大規模“網釣”欺詐活動的前奏。
　　MessageLabs公司稱，一旦用戶將攜帶該軟體的電子郵件打開，將開始運行一個很小的腳本程式就。它能夠潛入用戶的電腦，對流覽器中 “收藏”檔夾中的網站位址進行修改，或自動地將用戶由正常的網路銀行網站引導到與合法網站非常相似的非法網站，以便套取用戶的網路銀行資料。
　　在過去的18個月中， “網釣”欺詐活動隨著越來越多的人開始使用網路銀行服務也日趨增多，最近英國警方估計，“網釣”欺詐活動在2003年給英國銀行造成了約6000萬英磅的損失。
　　MessageLabs公司的高級反病毒專家Alex Shipp說：“大多數銀行都建議，對於要求提供銀行資料的電子郵件用戶應該保持警惕，只要用戶打開一封看似“清白的”電子郵件，新的惡意軟體就能夠竊取用戶的網路銀行資料”。
　　MessageLabs公司表示，用戶應該禁止使用Windows的腳本功能，這樣就會大大減少該惡意軟體攻擊用戶的危險。(蓑笠翁編譯)

中新社蘭州十一月四日電原甘肅省會甯縣郵政局職工張少強利用維護郵政儲蓄電腦網路之便，用辦公室電腦登錄其他郵政儲蓄網點盜取郵政儲蓄資金，三日在甘肅臨洮縣被依法判處無期徒刑，剝奪政治權利終身。

　　經調查查明，被告人張少強從二OO三年五月以來，利用電腦非法登錄臨洮、榆中、永登及蘭州市區等地的多個郵政儲蓄所微機網路，並秘密竊取上述儲蓄網點的相關密碼。
　　據報導，二OO三年十月十七日，臨洮縣太石鎮郵政儲蓄代辦點修好電腦後發現帳面不平，十月二十八日郵政部門正式向臨洮縣公安局報案，十一月十四日，張少強在家中被定西公安機關抓獲。涉案存款和現金全部凍結並追回。
　　法庭認為，被告盜竊的資金是臨洮縣郵政局郵政儲蓄經營部的資金，實質是金融機構的資金，因此張少強秘密竊取郵政儲蓄資金，且數額巨大，行為已經構成盜竊罪。考慮到張少強認罪態度好，有悔罪表現，贓款全部退清等具體情節，對其酌情從輕處罰，判處張少強無期徒刑，剝奪政治權利終身，並處沒收財產一萬元。

【記者黃士原／專題報導】

過去駭客為了宣示自己的能力，所寫出來的病毒太多是破壞電腦系統為主，但最近卻慢慢改變，根據趨勢科技號公布10月惡意程式分析報告中指出，10月總共發現了1817個惡性程式，比9月共上升了22％，其中近進一半是木馬程式，其次是蠕蟲與後門程式，而具有遙控受害人電腦能力的bot程式，佔蠕蟲比例的近 8成。

趨勢科技觀察發現，有些駭客會將自己創作的惡意程式，放入駭客論壇或線上會議所在地兜售，近來bot遙控程式有瞄準金融機構的跡象。惡意攻擊者會將自感染的機器竊取財物私密資料，販售獲利，或是販賣已遭bot遙控程式入侵的系統控制權。

地下經濟 駭客覬覦？

台灣線上遊戲虛擬貨幣交易地下經濟已行之有年，原本只是玩家賺賺外快，但演化到最後，公司化的虛擬貨幣提供一一出現，尤其是「天堂」與「天堂2」這2款遊戲交易最為熱絡，或許電腦駭客看中這個地下商機，入侵遊戲橘子官網伺服器，取得玩家帳號密碼後再盜取其中的虛擬道具，然後再轉賣出去。不過目前案件尚未偵破，駭客實際目的為何還不得而知。

早在遊戲橘子官網被駭事件之前，玩家口語相傳電玩網站討論區也曾被植入木馬程式，以及許多人在討論板留下不明網址，玩家連結過去就會被中了木馬病毒。這是有可能發生嗎？趨勢科技技術支援部嚴立偉經理表示，一般正常的網頁是不可能植入木馬，而且木馬病毒大多是透過下載方式進入使用者電腦，所以玩家對於來歷不明程式不要輕易下載。

不明程式 別亂下載

而賽門鐵克北亞區技術總監王岳忠也指出，木馬程式就如其名稱典故一樣，是偽裝成一般正常程式，透過使用者下載到電腦後，將電腦內的檔案傳送出去，以及開一個後門讓駭客有機會入侵，所以開網頁並不會中木馬病毒，除非同時下載檔案。

不過如果網頁若是被放入遠端監控程式就不同了，只要玩家連上網頁並進行輸入動作，那麼網友的帳號密碼就會被側錄傳下來，甚至有些駭客直接偽造官方網站，網頁與網址相似度高達90％以上，網友只要不小心就被騙。嚴立偉建議，對於需輸入帳號密碼的網站必須再次確認網址。

網路釣魚 小心提防

另外，現在「網路釣魚」（phishing）也是國際駭客熱門使用盜取帳號密碼方式，駭客會假冒「某知名網站客服中心」廣發電子郵件確認信，佯稱要求網站會員藉由郵件中的「使用認證」方式，登打會員帳號及密碼認證以確保使用權限，藉此釣魚手法誘騙會員自行輸入帳號密碼後，程式即自動回傳至駭客的電子郵件中，再伺機侵入被駭網友網路帳戶從事非法犯行，而這種方式也可能成為駭客騙取玩家們的帳號密碼。

這麼多種病毒與惡意程式，玩家該如何防範呢？嚴立偉表示，在電腦加裝防毒軟體是必備，同時也要定時更新病毒碼，而王岳忠則表示，如果要防止別人入侵電腦或連結到不明主機，防毒軟體最好還要有防火牆功能。除了消極的安裝防毒軟體，防毒業者也指出，不要下載來歷不明的程式，對於要輸入或確認資料、帳號密碼網頁及信件，最好是再三查證。雖然防毒軟體無法百分之百的防駭防毒，但多一層保護總是多一層安全。

【2004/11/05 星報】

CNET新聞專區：Graeme Wearden　　2004/11/02

在承認非法入侵牛津大學校園網路後，二名學生面臨遭休學處罰。

20歲的Patrick Foster和21歲的Roger Waite聲稱，他們進行駭客活動是為了找出安全缺陷。但牛津大學上周舉行的一次紀律聽證會裁決，他們二個人將被處罰暫時休學，Foster要休學到2005年5 月份，Waite則要休學到2005年1 月份。

他們二人的行為是在今年5 月份曝光的，當時他們在《牛津大學生》校園刊物中詳細自曝駭客行為。他們警告說，利用網路上找到的工具，他們成功看到實況閉路電視影帶，拿到學生的電腦使用情況，還可看到e-mail密碼。

Foster承認了7 項指控，二項與利用學校工具從事非法活動有關，二項與非法存取網路有關，二項與侵犯用戶的隱私，一項與聘僱同學參加與學習無關的活動、浪費了他們的時間有關。Waite則承認了4項指控，都與入侵閉路電視網路有關，其中包括共謀攻擊IT網路、利用學校工具從事非法活動、非法存取網路和浪費同學的時間。

沒有跡象顯示Foster或Waite在攻擊過程中造成了任何損害，或獲得了任何經濟利益

CNET新聞專區：Robert Lemos　　2004/11/05

安全研究人員警告，IE中某個被列為危急的漏洞由於已經有不肖程式加以利用，因此威脅等級大為提升。

安全資訊廠商Secunia 公司在一份新發佈的安全公告中，將該緩衝區溢位漏洞的危險等級提到最高。本週二該IE漏洞才被公諸於世，當IE載入一個經過特別設計的網頁時，就可以使IE啟動某個惡意軟體。Secunia 公司表示，這一漏洞不影響Windows XP SP2。

Secunia 公司指出：「由於利用該漏洞的程式碼已經發佈到了公共郵件清單上，故在這次新公告中將其危險等級定為「極端危急」(extremely critical)。」

此一Iframe漏洞是在IE中發現的最新漏洞。微軟公司在聲明中表示，該公司已經開始調查Iframe漏洞，還不知道已經出現了利用該漏洞的程式碼。

微軟公司指出：「微軟將根據調查結果採取適當的措施來保護客戶的安全，其中包括提供修補軟體，視客戶需求而定。」

微軟公司也對提前將漏洞公佈於眾的做法表示不滿。微軟在這份聲明中表示：「我們認為公佈IE中的漏洞是一種極不負責任的做法，這樣做會置電腦用戶於危險之中。我們認為通報漏洞的慣例應該是先向廠商通報漏洞，這樣符合各方的最大利益，既有助於用戶得到全面、高品質的升級軟體，又可以將他們在修補軟體開發期間受到攻擊的危險降到最低。」

目前，用戶可以升級到Windows XP SP2或使用其他瀏覽器，減少Iframe漏洞造成的威脅。

美國電腦緊急事故處理小組（CERT）也向政府部門和其他用戶發了Iframe漏洞警告。CERT指出，其他使用WebBrowser Active X 控制項的軟體也可能受到該漏洞的影響，受影響的軟體包括微軟公司的Outlook 、Outlook Express ，AOL 的瀏覽器和Lotus Notes。

CNET新聞專區：Robert Lemos　　09/11/2004

防毒軟體公司8日警告，悲慘末日(MyDoom)病毒又出現新變種，恐怕會利用微軟Internet Explorer瀏覽器尚未修補的一種安全漏洞迅速在網路上蔓延。

防毒軟體製造商賽門鐵克公司(Symantec)和McAfee公司說，新變種病毒利用最近發現的IE瑕疵，趁使用者點閱網頁連結時感染電腦。病毒會避開採用掃描電子郵件附加檔方式的防毒軟體。

兩家公司都表示，只傳出零星中毒個案。McAfee把這隻變種病毒命名為MyDoom.AG，賽門鐵克稱之為MyDoom.AH。

話雖如此，McAfee資深病毒研究經理Craig Schmugar說：「這隻病毒在技術方面令人憂慮，因為它具有成為重大病毒的所有要素。」

病毒作者在微軟還來不及修補安全漏洞之前，就利用軟體瑕疵作亂，這並非頭一遭。先前，就有行徑囂張的****業者利用IE兩項先前尚未修補的安全漏洞，試圖暗中在受害者的網頁瀏覽器上安裝彈出式****工具列。

微軟表示，正調查此問題，並已得知此弱點已遭新病毒利用。

微軟在答覆CNET News.com訪問的回函上說：「最理想的作法是，使用者在開啟不請自來的附加檔案時，不論是傳自已知或未知的來源，都應當小心謹慎。此外，我們也會繼續鼓勵使用者遵循『保護你的PC』原則，即啟動防火牆、更新軟體並安裝防毒軟體。」

最新版MyDoom病毒似乎是透過電子郵件滲入收件信箱，信件的內文裡寫道：「瞧瞧我的首頁，內附我用網路攝影機拍的最新照片！」或是「免費成人影帶！現在就登記加入！」兩則訊息的內文中都附有網站連結，由病毒所建立，並以傳送含毒電子郵件的中毒電腦作為傳布病毒的基地台。

一旦受害者點選該連結，就會促使Windows電腦呼叫IE，進而從前一台中毒電腦下載包藏禍心的網頁，內含最近資安郵件名單公開討論過的IFrame弱點。病毒隨即利用此安全瑕疵在受害者電腦上執行程式，導致系統中毒。病毒接著蒐集電腦上的電子郵件住址，進一步把病毒傳播到各地，同時在本機上建立伺服器，並設法聯繫上多台網路聊天系統(IRC)伺服器，以便把又攻佔一台新電腦的消息回報給病毒作者。

Schmugar指出，新變種病毒竟能自行建立網路伺服器，並用它來傳染其他系統，可謂有別於MyDoom歷來各種版本乃至於其他常見病毒的一大突破。(真好~)

他說：「可見作者在這隻病毒上投注了相當多的心血。安全研究員曾對此安全漏洞的示範程式碼著墨甚多，某人取得示範程式碼後，再予以大幅修改。」

McAfee目前把新變種病毒的安全警戒層級訂為低度威脅，但Schmugar認為病毒可能蔓延得非常廣。（唐慧文）

所謂蠕蟲是一種蠶食性的病毒，是一種透過網路連結或email 繁殖衍生的惡性程式。趨勢科技TrendLabs最新的分析指出，一旦遭蠕蟲感染，近8成風險會被駭客植入Bot 程式，然後成為被遙控的殭屍電腦而不自知。以下虛擬的「蠕蟲奧林匹克運動會」，以全球各大公信單位的調查報告數據為佐證，提供網友更進一步認識蠕蟲的新趨勢。

<十項全能金牌> Bot 遙控程式，聽命行事
得獎理由：
- 7月來自英國路透社的報導指出，有一個由青少年人組成的新興行業正盛行：「出租可由
遠端惡意程式任意擺佈的電腦」，這些受控制的電腦稱之為"殭屍(Zombie)"電腦。數目
小自10部大到3萬部，只要買主願意付錢，它們可以利用這些受控網絡系統(botnet)。
進行垃圾郵件散播、網路詐欺、散播病毒甚至阻斷服務攻擊(DOS-Denial of Service)，
代價僅需每小時100美元。
- 9月挪威ISP " Telenor " 因為察覺 IRC(Internet Relay Chat)已成為1萬多台個人電腦
組成的攻擊網路的指令中心，因此關閉了IRC伺服器。
- 趨勢科技 TrendLabs:"9月病毒感染分析報告"指出，個人電腦成為任人擺佈
"殭屍(Zombie)"電腦的機率，相較於去年9月成長23.5倍。
- 10月網路安全機構 SANS表示，殭屍電腦已被駭客當作用來勒索的工具，尤其是線上賭
博網站，若要避免伺服器因 DoS 而癱瘓的代價是付給駭客4萬美金。
得獎感言： 一切向錢看

<釣魚金牌> Phishing網路釣魚，垃圾郵件為餌，木馬程式為勾
得獎理由：
仿冒金融機構官方頁面相似度近100％，詐取受騙者銀行帳號、私人密碼得逞率高。趨勢科技表示：網路釣魚者透過木馬程式取得受害者輸入的銀行帳號及私人密碼。10月IDC發佈的《2004年亞太地區的安全威脅》(不含日本)報告指出，網路欺詐行為-- "網路釣魚(Phishing)"，已經對亞太地區從事電子商務企業造成嚴重安全威脅，"網路釣魚(Phishing)"成為該地區成長最快的非暴力犯罪行為之一，知名金融機構是其鎖定目標。
得獎感言：釣大戶，創錢程

<躲避球金牌> Spyware 間諜軟體，宛若網路偵探社
得獎理由：
垃圾郵件與木馬程式共同進行資料竊取的案件時有所聞，比如當你用滑鼠點選垃圾郵件的"remove it "時，間諜軟體即進駐你的電腦。另外最常見的是下載免費軟體，即使某些會在安裝過程的「版權宣示」中載明告知將有****訊息伴隨而來，但多數人並沒有逐一閱讀的習慣，且對於間諜軟體的進駐並不自知。根據National Cyber Security Alliance 調查報告指出，91％ 的PC 遭受間諜軟體入侵，但1/3受訪者認為遭受網路攻擊的機會，比中樂透彩或被雷打到機率低。難怪有廠商推出情人間諜軟體，監看情人與網友的交談。
得獎感言：比針孔攝影機還厲害

<摔跤金牌> Sasser 網路殺手，全球陸海空動彈不得
得獎理由：
全球的重要公家機構，都被摔得鼻青臉腫。包含臺灣郵政部門的電腦，三分之一電腦不斷自動關機，被迫改採人工作業；澳大利亞鐵路，上萬旅客滯留站臺；德國銀行被迫改用手寫完成各種業務；英國海岸警備局的電腦無法運轉，工作人員不得不用紙條來記錄事故；芬蘭某銀行關閉120家分行達數個小時；德爾塔航空公司約40個航班無法準時起飛。　
得獎感言：最好的18歲生日禮物(註：德國少年在18歲生日當天把該程式放網路上)

<百米金牌> Witty 飛毛腿，見縫就鑽
得獎理由：
網路資料分析合作協會(CAIDA)指出，漏洞攻擊週期最短記錄保持者Witty，在漏洞發佈後，不到48小時便開始在網路上蔓延，成為目前為止最快利用安全漏洞拔得頭籌的蠕蟲。打破先上一屆保持人Sasser 的18天紀錄。Witty 爆發後不到一小時之內，即鑽入多過12,000台電腦。
得獎感言：衝！衝！衝！

<射箭金牌> Slammer 漏洞神射手，快狠準！
得獎理由：
美國柏克萊大學電腦科學系指出，神射手Slammer 不但是目前傳播最快的病毒，而且命中率達90％，受害電腦每8.5 秒成長一倍，10 分鐘內感染了全球90％未安裝SQL 漏洞修正程式的電腦。
得獎感言：將這個榮耀，與漏洞機器分享

<馬拉松金牌> NetSky 長跑健將，耐力超強
得獎理由：
自2月現身以來，每個月NetSky 變種家族，都進入趨勢科技實時病毒監控中心前十大病毒排行榜，其中4月、6月、8月還佔過半席次。是本年度長跑耐力最佳的蠕蟲。
得獎感言：子孫滿堂，分身有術

CNET新聞專區：Robert Lemos　　10/11/2004

微軟公司9日說，微軟伺服器軟體內含一個弱點，可能遭駭客利用，導致商務使用者誤上賊船，甚至洩露個人資料。微軟已發布修補程式解決此問題。

這項弱點影響微軟的網際網路安全與加速(ISA)伺服器2000軟體，此軟體兼具防火牆、內容過濾器和網頁內容快取的功用。該軟體除了當作獨立產品銷售外，也併入微軟小企業伺服器套餐軟體(Small Business Server)出售。

微軟Proxy Server 2.0產品也受影響。

微軟把此安全漏洞的警戒層級評為次高的「重要」級，並發布修補程式。

微軟在例行發布的資安月報中聲明：「使用者可能以為存取的是受信賴的網際網路內容，但其實存取的卻是惡意網路內容，例如包藏禍心的網站。」

此瑕疵影響ISA伺服器的一種功能：快取(cache)網頁內容以加速存取經常造訪網站。此功能把甲職員曾造訪網站上的大形圖文檔案存在快取記憶體內，一旦乙職員上相同的網站，圖文就會立刻呈現出來。但ISA安全漏洞可能讓駭客在快取記憶體內插入惡意的內容，例如仿冒的表格，並更改內容標示，比方說把它重新標明為傳自某銀行網站的表格。

防毒軟體公司賽門鐵克(Symantec)提醒企業當心，ISA的這項安全漏洞可能被有心人士用來竊取顧客的私密資料。把使用者誘上某惡意網站後，駭客可能偽造表格，佯裝成傳自正宗的網域。

要提防這類威脅，賽門鐵克建議使用者，切勿點選通往不知名網站的連結。

「隨著網路釣魚(phishing)攻擊愈來愈猖獗，此弱點可能提供另一個蒐集身分資料的平台，」賽門鐵克安全應變中心資深經理Oliver Friedrichs說。

微軟從一年前開始每月發布資安公告，本月公布的瑕疵僅ISA伺服器一項，比以往大有改善。10月份微軟同一天就公布20多項軟體瑕疵。

此瑕疵不影響ISA Server 2004。至於受影響的ISA Server 2000和Proxy Server 2.0，微軟建議系統管理員安裝最新修補程式，或把受影響系統上的網域名稱服務（DNS）快取設定值改為零，即可預防駭客利用此瑕疵作怪。（唐慧文）

【賽迪網訊】就在開放源流覽器Firefox 1.0推出數天之後，微軟執行官便對IE進行防衛，稱IE的可靠性不會輸於任何其他流覽器，並且也不缺少任何重要功能。

　　11月11日，在悉尼召開的一次安全討論會上，微軟安全與管理產品經理Ben English對與會者表示，IE經過了嚴格的代碼評估，其安全性能不會低於任何其他流覽器。
　　English稱：“人們之所以產生錯覺，是因為IE無處不在，人們聽到得太多了。但我認為，IE與所有的其他流覽器相比，安全性能都毫不遜色。”
　　微軟澳大利亞分部經營主管Steve Vamos也持相同意見，稱他認為IE的市場份額不會受到Mozilla新推Firefox流覽器的威脅。
　　Vamos表示，儘管他已經聽到人們談及來自Firefox的威脅，但他認為這不會成為一個問題。
　　Vamos稱：“我認為這不是事實，儘管我聽到一些評論，但我卻找不到支持這些評論的任何理由。”相反，Vamos表示，消費者應當學會微軟流覽器已經提供的所有功能。
　　Vamos還承認他從來沒有使用過Firefox，但他認為人們對這種開放源產品的宣傳未免誇大其詞，如果微軟的客戶需要某些新功能，他們應該會告訴微軟的。

【日經BP社報導】最近出現了使用彈出視窗偽裝Internet Explorer（IE）位址欄的網頁仿冒（Phishing）——這是反欺詐業界團體“Anti-Phishing Working Group”當地時間11月1日發出的警告（英文）。實際上，本刊編輯部就曾收到過被誘往假冒網站的郵件，美國花旗銀行也於10月25日就使用同樣伎倆的欺詐發出警告（英文）。

　　如果點擊郵件中的鏈結，就會被引誘到偽裝成美國花旗銀行的假冒網站。假冒網站會顯示位址欄記有花旗銀行正式URL（ https://web.da-us.Citibank.com/cgi-...ogin2/login.jsp ）的彈出視窗，假冒網站的真實URL則被隱藏起來（點擊放大照片）。

　　使用彈出視窗（JavaScript的“window.createPopup()”方法）偽裝螢幕顯示的方法本身並不新鮮。2004年7月就作為偽裝IE對話方塊的方法之一被發現。現在出現的網頁仿冒只是利用了這一方法而已。

　　正如相關報導（日文）所述，即使是Windows XP SP2，一個網頁也允許出現一個由window.createPopup()建立的彈出視窗。因此就算是XP SP2環境也有可能被欺詐。

　　雖然將活動腳本設為無效，就不會打開彈出視窗、可以防止上當，但這樣會導致多數網站無法完整顯示畫面，或無法接收服務。比如在筆者的系統（Windows 2000＋IE 6）中將活動腳本設為無效後，訪問美國花旗銀行的正式網頁（ https://web.da-us.Citibank.com/cgi-...ogin2/login.jsp ）時就無法顯示完整的頁面。

　　網頁仿冒的手段越來越高明了，在這種形勢下，建議採取以下各種措施來防止中招，如“不要在被郵件誘往的Web網頁中輸入重要資訊”、“為了弄清鏈結位址，以文本形式顯示所有郵件（不顯示HTML郵件）”、“輸入重要的資訊時，在確認表示正在進行SSL通信的‘鎖定記號’的同時，點擊鎖定記號檢查數位證書內容（因為鎖定記號有可能被偽裝，因此只有鎖定記號是不可靠的）”、“用網頁‘屬性’來確認URL”等。

　　雖然不能懷疑一切，但現在已經到了“眼見”並不為實的地步，因此務必多加小心。另外，多數情況下被“做手腳”的物件是IE（以及利用IE的郵件軟體），因此使用除IE之外的流覽器（不使用IE的郵件軟體）也算是一種防範措施。不過，在其他流覽器中也發現了允許偽裝的安全漏洞。總之，切忌過於相信一切！

　　Web網站的開發人員與管理員也要引起重視，最好能製作“即使將活動腳本設為無效，也能提供最低限度的必要服務”、“準確顯示位址欄與狀態欄”、“不使用框架與彈出視窗”這樣的網站，令網頁仿冒無法假冒（參閱本站報導）。（記者：勝村 幸博）

【日經BP社報導】丹麥安全公司Secunia當地時間11月10日公開了在Web流覽器 “Mozilla Firefox 0.x”中發現的若干安全漏洞（英文）。如果惡意利用這些漏洞，可能會造成DoS（拒絕服務）攻擊與對話方塊偽裝等。與之相關的對策是升級到 Firefox 1.0（日文）。雖然這些漏洞不是特別危險，不過由於Firefox 1.0正式版剛剛推出，因此最好還是升級到1.0版。

　　Secunia公開的安全漏洞都已被“Bugzilla”（英文）報告過，此次借已修正這些漏洞的Firefox 1.0正式版發行之際，Secunia將這些漏洞匯總後公開。

　　Secunia公開的是以下三種安全漏洞：

（1）有關IMG標識的安全漏洞
（2）有關顯示對話方塊的安全漏洞
（3）有關Firefox許可權的安全漏洞

　　（1）是如果給IMG標識的SRC指定本地檔案名，就會獲知該檔是否存在的安全漏洞。另外，如果將檔案名指定為設備檔，Firefox就進入DoS狀態。在Windows版中，還有可能通過檔共用竊取口令（不過，IE等其他流覽器也存在這一安全漏洞）。

　　（2）是如果檔案名被做手腳，就會偽裝檔下載時顯示的對話方塊的安全漏洞。可以將危險的檔偽裝成安全的檔類型，並引誘用戶運行。照片為Secunia 公開的訪問示範網頁時的例子，準備下載的文件看上去是PDF文件“Secunia.pdf”，實際上 卻是HTML程式。

　　不過，如果“保存（Save）”檔則不會受害（默認為“保存”），只有在對話方塊中選擇“打開（Open）”時才會受到影響。並且在IE與Opera中也發現了這一安全漏洞（參閱本站報導）。

　　（3）是只有Mac OS X版才受到影響的安全漏洞。由於在Mac OS X中Firefox是以“world-writable”許可權安裝的，因此本地用戶（能訪問該機器的用戶）有可能惡意利用安全漏洞“升格”自己的許可權。

　　對策是升級到Firefox 1.0版（參閱本站報導），1.0版已修復了上述所有安全漏洞。（記者：勝村 幸博）

【日經BP社報導】美國Finjan Software在Windows XP Service Pack 2（SP2）with Advanced Security中發現了10個嚴重漏洞。這是Finjan於當地時間11月10日透露的。“如果惡意利用本公司發現的SP2的全部漏洞，用戶只要流覽 Web網頁便會遭到入侵。”（該公司）

　　該公司表示，已通知美國微軟關於上述漏洞詳細技術資料，並支援後者開發安全補丁。關於是否公開漏洞資訊，該公司表示，“為防止被用來開發病毒和蠕蟲等惡意代碼，在微軟完全發佈補丁前不會公開”（Finjan）。

　　Finjan發現的主要漏洞的概況如下。

•可從外部訪問個人電腦內部檔

•可改變Internet Explorer的安全區設置，並從網際網路下載代碼式作為本地代碼執行。這有可能從外部向個人電腦發送可讀寫及執行檔的代碼

•可以不提出警告便下載檔或執行可執行檔

CNET新聞專區：Dan Ilett　　15/11/2004

安全專家表示，他們發現一個記錄電子銀行使用者資料和網路瀏覽習慣的特洛伊木馬程式。

防毒公司Sophos警告，Banker-AJ Trojan木馬程式以英國銀行，如Abbey、Barclays、Egg、匯豐（HSBC）、Lloyds TSB、Nationwide和Natwest等業者的線上客戶為目標。該程式可感染使用微軟Windows系統的電腦。

Sophos指出，一旦被感染，木馬程式會等待使用者造訪他們的線上銀行網站，然後紀錄密碼和期間的螢幕畫面，再將這些資訊回傳給主謀的駭客，藉此竊取金錢。

Sophos資深科技顧問Graham Cluley表示：「這是下一代的釣魚攻擊。這些（攻擊）利用民眾前往真正、合法的網站，一旦木馬程式確定你去過那些網站，便開始紀錄鍵盤敲擊位置和主機畫面，回傳給駭客。」

網路釣魚詐欺通常以設立假網站的方式，騙取受害者的個人資料。詐欺者假冒合法公司的名義發出信件，引誘受害者前往虛設的網站，進而要求他們輸入信用卡號等個人資料。攻擊者大都以銀行客戶為目標，但eBay和亞馬遜（Amazon.com）的顧客近來也傳出受騙的案例。

Barclays銀行表示，這類利用合法網站的伎倆並非首見。該公司一名代表說：「這種類型的木馬程式我們已經注意一段時間，我們正與業界合作研究對抗詐欺的方法，並且有志於顧客教育。」

幾個月前，Sophos也曾發現另一個類似的木馬程式Tofger，但主要使用地點在巴西一帶。Cluley說：「我們的確在幾個月前發現另一個，若干巴西的案例只是等待使用者瀏覽內有”銀行”字眼的網站，但這一個特別針對許多知名的英國銀行，因此值得注意。」（陳智文）