微軟、Mozilla淡化安全問題

留下回應

分享

    

微軟公司與Mozilla均承認各自的瀏覽器存在可導致資料被竊的安全漏洞，但表示該漏洞很難利用，因此風險不高。

安全專家本週發出警告，IE、Firefox和其他Mozilla瀏覽器處理JavaScript的方式均有瑕疵，攻擊者可利用這個問題私下上傳檔案，破壞民眾的個人資料。

但利用該瑕疵需要使用者相當程度的互動，微軟與Mozilla認為風險不大。兩家公司都不願匆忙趕製修補方案，只計畫在未來的更新中解決問題，但並未確定是哪一次更新。

一名微軟代表的電郵聲名指出：「這個弱點無法讓惡意攻擊者在遠端執行程式，而是需要使用者有效的互動，才可能造成資料曝光。微軟計畫在未來的IE版本解決這個弱點。」

Mozilla工程副總Mike Schroepfer也作出類似評論，他以聲明表示：「這是個相對低嚴重性的問題，因為它需要特定的使用者動作，且沒有遠端執行程式的風險。也就是說，我們認真看待每一個問題，並且正在為往後釋出的Firefox研究修補方案。」

根據賽門鐵克與Secunia本週發出的警報，該瑕疵與JavaScript的「OnKeyDown」事件偵聽程式相關。攻擊者可製作一個惡意網站，暗自捕捉使用者的鍵盤記錄至隱藏的資料上傳對話方塊，然後啟動上傳。攻擊若要成功，受害者必須鍵入攻擊者需要下載的「完整」檔案途徑。賽門鐵克指出：「這需要目標使用者大量的鍵入資料。」攻擊者最可能以鍵盤遊戲或部落格等網頁利用該弱點。

微軟強調，目前尚未接獲任何利用該弱點的攻擊通報。Secunia表示，這項安全瑕疵的特點是，常用的瀏覽器幾乎無一倖免，包括所有版本的Firefox、Mozilla SeaMonkey、Mozilla Suite、Netscape和微軟的IE。Secunia將此問題等級列為較低的「不甚緊急」。

Mozilla的瀏覽器這次全部上榜，Opera Software的同名瀏覽器這次不在影響範圍內。安全專家建議民眾，不要在不明或不信任的網站輸入資料，或乾脆關閉JavaScript。（陳智文）