IE出現未修補瑕疵

3則回應

安全專家警告，微軟IE瀏覽器的影像呈現功能被發現有瑕疵，攻擊者可能藉此在遠端執行程式。

電腦安全顧問兼作者Michal Zalewski表示，他在IE處理JPEG影像檔的過程中發現幾項瑕疵，其中之一可被利用自遠端強制執行程式，這類攻擊通常被安全業者視為「危急」情況。

Zalewski在網站上公布了四個專門針對這些瑕疵的概念驗證影像檔，當中每一個都可能讓最新版、經過Service Pack 2修補的IE 6當機。根據SecurityFocus網站的貼文，之前各版的IE也可能受影響。其中兩個影像檔還會造成記憶體和CPU的問題。

Zalewski說他並未在公布前通報微軟公司，因為該公司的問題通報程序令他不滿。Zalewski在安全網站Neophasis的貼文寫道：「我的經驗是，向微軟通報和討論安全問題是不必要的冗長過程，對研究者施加太多的負擔和工作，尤其是當你只有當機的案例，而非實際可行的攻擊；因此，這次他們沒有事先得到通知。」

微軟的代表說：「微軟正在調查有關IE可能存在安全弱點的新報告，但我們尚未發現任何攻擊。這項調查完成後，微軟將採取適當的行動協助保護我們的顧客。微軟相當擔心這項IE可能弱點的新報告，並未依負責的方式揭露，可能讓電腦使用者面臨風險。」

本週稍早，另一項影響IE與MSN Messenger的影像處理漏洞才被公布。該問題是起於兩項應用軟體處理國際色彩聯盟特性檔（International Color Consortium Profiles）的瑕疵，但微軟已在上一次的安全更新修補這個問題。

有關最新瑕疵的詳細訊息，請參閱SecurityFocus網站的病毒報告編號14282與14284。（陳智文）