IE漏洞遭色情网站利用 装恶意软件用户不知情

CNET科技资讯网9月21日国际报道 安全专家警告，未修补的微软IE漏洞已被不当的网站企业，包括色情网站，用来安装恶意软件。

安全企业表示，问题发生在IE 6处理某些图像的方式。当使用者点入网站或电邮内的恶意链接，便会在不知情的状况下被安装恶意软件。

VeriSign旗下的iDefense迅速反应小组主任Ken Dunham说：“完整更新过的IE也无法幸免。这个零时差攻击很容易复制，并且有很大的可能在近期内大幅扩散。”

Secunia和French Security Incident Response Team两家安全公司均将此问题列为最严重的等级。

间谍软件专业防护公司Sunbelt Software研发副总Eric Sites表示，作风可疑的成人网站最先利用这个IE弱点，其中一个案例是，某个恶意网站借此安装“大量的广告软件”。

根据微软安全公告，这个IE瑕疵将在10月份的例行更新修补，但可能“根据顾客的需求”提早发布。微软只会在攻击扩散时缩短更新周期。

网络安全公司Websense表示，攻击数量可能迅速上升。该公司的声明指出，经常被用来制作攻击网站的工具WebAttacker，似乎已就新的弱点完成调整。

Websense表示：“我们已经证实有多个、之前未知的WebAttacker网站，正在利用此弱点安装恶意软件。我们预期，现有的数千个WebAttacker网站，在更新最近发布的工具组软件后，也将开始利用这个弱点。”

微软则表示，已经注意到这个弱点被利用。在制作更新的同时，该公司建议使用者随时更新安全软件，并在浏览网页时保持谨慎。微软也在公告中提供几个保护系统的替代方法。

这个弱点出自Windows元件”vgx.dll”，其作用是支持操作系统的Vector Markup Language文件。VML是用来处理网页上的高品质向量图像。

这已是几周来第二个曝光但未修补的IE安全瑕疵。上周，微软才证实IE存在与多媒体相关的ActiveX漏洞，攻击程序已在网络流传，使用IE 5和IE 6的系统可能因此遭挟持。另一个已被利用的Word 2000瑕疵也尚未修补。