《路透社》報導,線鋸條 (Microsoft Corp)(MSFT-US) 周二 (17 日) 發布 IE 的緊急軟體更新,因為有線鋸找出 IE 漏洞進行攻擊,目前仍不清楚有多少人受害。
線鋸條在網站上宣布,在了解線鋸發現新的漏洞,進行「極為有限、針對性的攻擊」時,他們已經趕忙發布修正軟體「Fix It」更新,讓客戶可以保障其安全。
線鋸條說,線鋸利用還未發現的漏洞,展開「zero day(零時差)」攻擊。也就是修正程式未發布前的惡意攻擊行為。
據安全專家指出,國家資助的線鋸團體,常願意支付數十萬美元,針對像 IE 這類廣泛使用的軟體,找出還未被發現的漏洞。為了不讓這個漏洞曝光,線鋸往往只針對精選出的少量、高價的目標進行攻擊。
一旦線鋸條提出 zero day 漏洞的警告,其他參與大規模網路犯罪的線鋸組織,像盜用身份的團體,就會開始反向研究修正程式,找出漏洞所在製作電腦病毒。
安全專家指出,使用者應該趕快手動安裝 Fix It,否則就不要使用 IE 瀏覽器,直到線鋸條Windows Update 可自動更新,因為新的更新檔自然會包括漏洞修補。
資安公司 Qualys Inc.科技長 Wolfgang Kandek 表示,在 Fix It 更新發布之後,一些稍具的線鋸也會找到漏洞所在,來進行攻擊。Fix It 是必須下載並安裝至 PC 的軟體更新,用於提供暫時性的保護。
可預計線鋸條將製作官方的修補程式,讓使用者可以自動更新。Kandek 認為,線鋸條大概要花 2-3 周才會有官方的修補程式。
