更新速度不及黑客快手!IE 10 再成入侵武器
樹大招風果然不假!昨天我們報導過微軟將針對 IE 漏洞推出安全修正。然而在仍不到 24 個小時內,安全機構 FireEye 已發現了一連串透過 IE 10 發動的密集式攻擊;今次黑客通過於美國退伍軍人網站插入惡意代碼,當用戶透過 IE 10 瀏覽該網站被感染的頁面時,便會自動轉到惡意網站,此時惡意程式便可即時通過 IE 10 自動下載到用戶的系統之內,藉以偷取資料。
由於黑客刻意於退伍軍人網站植入惡意代碼,我們估計黑客可能受顧於某些人士,並透過入侵退伍軍人網站從而獲取入侵退伍或現役軍人的系統的途徑,並藉此找尋機密資料;有關漏洞只影響 IE 10 用戶,由於 IE 11 已推出,因此建議用戶更新最新版本以策安全!
根據安全機構稱,黑客今次主要通過 Flash ActionScript 來避開系統之中的 ASLR 機制,藉以發動攻擊;當用戶的系統「中招」後,便會自動從遠端伺服器下載 XOR-encoded 物件,接著於受害者的系統中解密並執行,然後即可悄悄地偷取用戶資料。
現時安全機構已通知微軟,而微軟亦就事件啟動調查機制,但現時仍未能推出更新修正漏洞;為增加安全性,建議大家盡快更新 IE 以免「中招」。
