【微軟發表IE F1漏洞安全公告】

tan2818

【微軟發表IE F1漏洞安全公告】

 

微軟強調，迄今尚未接獲針對該漏洞的攻擊報告，由於還未訂定修補時程，微軟也提供了各種權宜措施。

 

資安業者上周揭露了微軟IE的安全漏洞，並指出該漏洞影響Windows XP作業系統上的IE 6、IE 7及IE 8，可能導致遠端程式攻擊，微軟則於本周一（3/1）發表該漏洞的安全公告。

 

微軟說明，這是一個存在於IE上VBScript與Windows Help檔案互動時的漏洞，駭客可以打造一個惡意網站並顯示一個對話視窗，要求使用者按下F1，一旦使用者按下該鍵，駭客就能在使用者系統上執行任意程式或取得使用者系統權限。

 

該漏洞影響Windows XP、Windows 2000及Windows 2003等作業系統上任何版本的IE，其中Windows 2003上的IE因啟用強化安全設定因此可降低該漏洞所帶來的影響。

 

微軟強調，迄今尚未接獲針對該漏洞的攻擊報告，由於還未訂定修補時程，微軟提供了各種權宜措施。

 

包括建議使用者造訪網站時，不要接受網站以任何方式要求使用者按下F1，因為如果不按F1，駭客就無從攻擊該漏洞；

 

其次是更改winhlp32.exe上的存取限制名單（ACL）以封鎖對Windows Help系統的存取；

 

或是將網路或區域網路設為高度安全等級，以封鎖相關區域的ActiveX控制功能與Active Scripting。

 

 

引用：http://tw.myblog.yahoo.com/jw!Wh2mtbmXFAA0_3UdZO.j4cYZT08-/article?mid=4983