IE漏洞扯上Windows Media Player

| | | | | | 留下回應

    

一位著名的網路安全專家週二公布只要利用Windows Media Player一個已知的安全漏洞就可讓IE6.0新增的隱私強化功能全部泡湯。

微軟一直強調IE6.0的隱私性大幅提昇，包括支援最近才通過的P3P標準(Platform for Privacy Preferences)。P3P可讓使用者掌控更多常被網站用來追蹤網友行蹤的cookies。

不過本週電腦隱私與安全顧問Richard Smith警告，有心人士只需利用Windwos Media Player所產生的一組特定ID便可繞過微軟在IE瀏覽器中所設的重重安全關卡。因此，不肖網站可藉此設立所謂的「supercookie」(威力cookie)，追蹤IE與網景瀏覽器用戶在網路上的一舉一動，不管使用者設定了多高層級的隱私權限都無用。

「只需在網頁上寫一段JavaScript程式，網站就可直接抓取每個網友電腦中的Windows Media Player辨識號碼(ID)。」Smith表示。「網站便可利用此一辨識碼追蹤網友在網路上的行蹤。」

雖然微軟已經提供了修復程式，但Smith表示此一解決方式還不夠周延。「許多人從沒開啟過Windows Media Player，但還是會深受其害。」

Smith是在去年三月便已發現此一問題並通知微軟，該公司則在五月發出修正程式，讓網友更改Windows Media Player的預設值。使用Media Player 6.4與7.1版本的用戶可直接關閉「Allow Internet Sites to uniquely identify your player」選項(允許網站追蹤您的播放器)。另外，用戶也可選擇卸載Windows Media Player或關閉JavaScript。

「通常這類隱私問題並不在我們安全論壇的討論範圍內，但以此例而言，網友其實只需下載更新程式並更動設定值便可解決此一問題了。」一位微軟代表在email中如此表示。

不過Smith表示許多人並不瞭解他們還需更動Windows Media Player的設定值才能實質解決IE瀏覽器的這個大漏洞。(陳奭璁摘譯)