【IE漏洞攻擊程式現身】
安全研究人員Moshe Ben Abu表示他是透過topix21century網站取得攻擊程式,加以精簡並打造出該漏洞的Metasploit攻擊模組。
微軟甫於本周二(3/9)警告IE6及IE7有一可用來執行遠端程式的安全漏洞,並已發現目標式的攻擊行動。
然而,安全研究人員Moshe Ben Abu旋即在隔天(3/10)釋出了相關的攻擊程式。
此一IE安全漏洞源自於無效的指標參考,McAfee實驗室本周二即公開一來自topix21century網域的攻擊行動,當使用者以IE造訪該站就會遭到針對該漏洞的偷渡式(drive-by)攻擊,自動下載並安裝木馬程式,進而允許駭客掌控使用者電腦。
Moshe Ben Abu周三(3/10)表示他是透過topix21century網站取得攻擊程式,加以精簡並打造出該漏洞的Metasploit攻擊模組,指出該攻擊模組已可成功執行於XP平台上的IE6/IE7及Vista平台上的IE7。
Metasploit為一開放源碼的電腦安全專案,提供各種有關安全漏洞的資訊並協助進行滲透測試,並有一稱為Metasploit架構的子專案,為一供安全人員開發及執行攻擊程式的工具。
雖然有許多安全人員利用該專案進行漏洞研究,但更廣為人知的是該專案也釋出各種安全漏洞的攻擊程式。
Moshe Ben Abu所打造的Metasploit攻擊模組已可供公開存取,外界認為這將增加該IE漏洞的安全風險,而迫使微軟不得不儘快修補。
微軟在安全公告中指出,該公司會持續觀察該漏洞的威脅環境,並採取適當措施,但尚未公布修補時程。
引用:http://tw.myblog.yahoo.com/jw!Wh2mtbmXFAA0_3UdZO.j4cYZT08-/article?mid=4985
| 歡迎光臨 【五術堪輿學苑】 (http://aa.wsky.ink/) | Powered by Discuz! X3.1 |