IE去年漏洞激增

| | | | | | 2則回應

    

網路安全軟體供應商賽門鐵克今（16）日發表「賽門鐵克網路安全威脅研究報告」。報告顯示， IE瀏覽器去年下半年新增34個漏洞，比上半年的20個成長70%。

賽門鐵克這份報告，是該公司安全機制應變中心，每年度從全球蒐集而來，關於各種系統漏洞，惡意程式攻擊行為所做的分析報告。

這份報告指出，IE的漏洞大增，將使無意間造訪惡意網站的使用者有可能遭到攻擊破壞。

微軟瀏覽器IE是最多人使用的連網客戶端軟體，有將近九成五的桌上型電腦搭載IE。賽門鐵克北亞區技術總監王岳忠指出，由於IE的普及，使得一旦出現駭客入侵，安全廠商或企業想要修補，短期間將束手無策。

去年為禍最兇的Blaster，正是利用IE的漏洞造成重大災害。此外，去年IE的漏洞還可以讓使用者遭到網頁劫持及被詐騙的風險。

IE漏洞之所以快速新增，他解釋，這主要是來自微軟及外界注意力增加的緣故。「只是因為微軟和第三方安全安全團體更仔細尋找IE漏洞，使得發現的速度比較快，」他指出，「其實漏洞本來就在那」。

為了實踐「可信賴的運算」，微軟以新的方法來撰寫程式，確保Windows、Office等系統的安全品質。不過王岳忠表示，到目前為止，IE仍是採用舊方法撰寫的產品，包括現在最新版本的IE 6.0。

「我們期望未來的IE，假設稱為IE 7.0可以使用新的安全方法來撰寫，」他指出，「不過在此之前，確保你的電腦已下載最新的修補程式是唯一的方法。」

電子商務新威脅

如果企業使用者以IE連網存取公司內部應用系統，還可能導致另一個安全威脅，即Web應用程式攻擊。根據賽門鐵克的報告，去年每個月出現的漏洞中，最少有20%以上會影響到Web-based應用程式。

IE的漏洞主要影響的是使用者電腦，而Web應用漏洞則侵害到企業伺服器上的機密資料。

這個數據僅包涵市售的Web化應用，還不包括企業自行開發的程式。王岳忠並補充，有些漏洞甚至不需要寫攻擊程式就可以被攻擊，像是去年某家銀行的人員資料，只在使用者鍵入流水號，就可以窺得他人資訊。

他表示，由於程式開發人員多數沒有安全方面的訓練，而且企業對於這些應用的驗收，一般也未考慮到安全問題，使得Web應用程式也成企業新資訊安全隱憂。