【IE漏洞攻擊程式現身】

tan2818

【IE漏洞攻擊程式現身】

 

安全研究人員Moshe Ben Abu表示他是透過topix21century網站取得攻擊程式，加以精簡並打造出該漏洞的Metasploit攻擊模組。

 

微軟甫於本周二（3/9）警告IE6及IE7有一可用來執行遠端程式的安全漏洞，並已發現目標式的攻擊行動。

 

然而，安全研究人員Moshe Ben Abu旋即在隔天（3/10）釋出了相關的攻擊程式。

 

此一IE安全漏洞源自於無效的指標參考，McAfee實驗室本周二即公開一來自topix21century網域的攻擊行動，當使用者以IE造訪該站就會遭到針對該漏洞的偷渡式（drive-by）攻擊，自動下載並安裝木馬程式，進而允許駭客掌控使用者電腦。

 

Moshe Ben Abu周三（3/10）表示他是透過topix21century網站取得攻擊程式，加以精簡並打造出該漏洞的Metasploit攻擊模組，指出該攻擊模組已可成功執行於XP平台上的IE6/IE7及Vista平台上的IE7。

 

Metasploit為一開放源碼的電腦安全專案，提供各種有關安全漏洞的資訊並協助進行滲透測試，並有一稱為Metasploit架構的子專案，為一供安全人員開發及執行攻擊程式的工具。

 

雖然有許多安全人員利用該專案進行漏洞研究，但更廣為人知的是該專案也釋出各種安全漏洞的攻擊程式。

 

Moshe Ben Abu所打造的Metasploit攻擊模組已可供公開存取，外界認為這將增加該IE漏洞的安全風險，而迫使微軟不得不儘快修補。

 

微軟在安全公告中指出，該公司會持續觀察該漏洞的威脅環境，並採取適當措施，但尚未公布修補時程。

 

 

引用：http://tw.myblog.yahoo.com/jw!Wh2mtbmXFAA0_3UdZO.j4cYZT08-/article?mid=4985