閱讀: 260|回覆: 0

IE零時差攻擊程式恐蔓延 [複製連結]

Rank: 9Rank: 9Rank: 9

發表
3191
註冊時間
2008-1-30

管理員

發表於 2013-10-3 18:01:14 |顯示全部樓層
IE零時差攻擊程式恐蔓延
文/陳曉莉 (編譯) 2013-10-02

微軟在9月17日釋出2887505安全通告,說明一可能影響所有IE版本的零時差攻擊漏洞,並以Fix it提供暫時性修補。不過,從上個月開始便傳出有多項攻擊鎖定該漏洞,且近日亦於專門測試安全漏洞的Metasploit滲透測試工具中發現針對該漏洞的攻擊程式,大幅提高該漏洞遭到攻擊的風險。

微軟在公布該漏洞時便表示,已發現少許鎖定該漏洞的目標式攻擊,資安業者FireEye隨後則證實,今年8月針對日本企業的Operation DeputyDog攻擊行動即鎖定該漏洞,並在9月30日指出有其他3個攻擊行動皆鎖定該漏洞進行進階持續性攻擊(Advanced Persistent Threat,APT)。

另一資安業者Websense Security Labs則說,可能有高達70%的個人電腦都受到該漏洞的威脅。而且相關攻擊並不僅限於日本,偵測發現有不同的攻擊行動與攻擊團隊亦鎖定該漏洞。

外界近來也發現,Metasploit的滲透測試工具已納人了該IE漏洞的攻擊程式,使得疫情有擴大的可能。

資安業者Rapid7旗下的Metasploit專案為一電腦安全專案,提供各種安全漏洞的資訊並可進行滲透測試,Metasploit還有一個開放源碼的Metasploit Framework子專案,是一個用來開發漏洞攻擊程式的工具。攻擊程式開發人員Wei Chen則於本周一(9/30)將鎖定該漏洞的模組捐贈給Metasploit滲透測試工具,Chen表示,他所打造的攻擊模組是基於駭客開採該漏洞的攻擊程式。

即使Metasploit專案的宗旨在於供資安人員研究所用,但也有不少駭客習慣藉由Metasploit內含的資訊與工具來進行攻擊,使得專家認為這將大幅提高此一IE零時差漏洞的風險。

微軟已在著手打造該漏洞的正式版修補程式,但尚未釋出。(編譯/陳曉莉)

http://www.ithome.com.tw/itadm/article.php?c=82957
← 按讚加入粉絲團!
您需要登入後才可以回覆 登入 | 立即註冊 |

bottom

聯繫我們|手機版|就是酷資訊網 |

GMT+8, 2016-12-10 16:49 , Processed in 0.024055 second(s), 12 queries , Gzip On.

Powered by Discuz!
© 2008-2013 JustCool Inc.

回頂部