隨著資訊科技的發達,網路及通信環境蓬勃發展,不但帶給人類急速而巨大的衝擊,也改變了人類生活模式,然而隨著資訊科技所帶來的便利,也引發不少令人擔憂的資通安全問題。使用者在享受資訊網路所帶來便利性的同時,也開始遭受各類網路不安全事件的困擾與威脅,例如:病毒蠕蟲、阻斷服務式攻擊、駭客入侵、網路釣魚、垃圾郵件及間諜軟體等各式各樣的威脅在網際網路上層出不窮,平均每幾秒鐘世界上就有一起資安事件的發生,然而多數的資安事件有可能是因為電腦本身作業系統或是應用程式的安全漏洞,導致資安事件的發生,本文節錄97年12月份與使用者較為切身相關的安全漏洞議題,期望使用者在使用便利的電腦系統時,也須一併注意安全漏洞的更新,防患資安事件於未然。
微軟IE 7.0 XML弱點攻擊及安全性漏洞更新通知
內容說明 |
國家資通安全會報技術服務中心於分析惡意電子郵件時,發現政府單位近期遭受針對性攻擊,駭客利用發送夾帶惡意連結之信件,當使用者點擊惡意連結時,將透過微軟Internet Explorer網頁瀏覽器7.0(Windows)所存在的弱點進行攻擊。
駭客發現IE在處理XML內嵌img src資料時,會引發SDHTML發生跳脫原執行路徑的弱點,此弱點於97年10月間被中國大陸駭客揭露並於黑市中販售,而相關的攻擊也已經在網際網路上大量出現。除針對性攻擊外,網際網路上亦有不少惡意網頁利用此弱點。
微軟已於12月17日公布一則緊急安全性公告(MS08-078),並針對Internet Explorer網頁瀏覽器5.01、6、及7釋出修補程式。為防堵此一攻擊規模的擴大,呼籲所有使用微軟作業系統之使用者儘速安裝更新程式以進行漏洞修補及採取防禦措施。 |
影響平台 |
微軟Windows 2000, Windows XP, Windows Server 2003, Windows Vista and Windows Server 2008 |
影響等級 |
高 |
建議措施 |
技術服務中心建議所有相關單位:
1.儘速安裝更新程式,對 MS08-078進行漏洞修補。
2.建議使用者可利用Microsoft/Windows Update及設定「自動更新」功能定時進行漏洞修補程式下載及安裝,並且開啟Windows防火牆設定。
3.請勿開啟未受確認之電子郵件內的超連結及附件檔案。 |
參考資料 |
微軟安全性公告資訊網址
https://www.microsoft.com/technet/security/bulletin/ms08-078.mspx
http://support.microsoft.com/kb/960714 |
點閱綁架(Clickjacking)攻擊暨漏洞修補通知
|