 (圖/美聯社)
微軟淘汰的舊款 Internet Explorer(IE)瀏覽器傳出漏洞早已經不是新聞,過往的安全性就普遍獲得差評,最後官方推出 Edge 取代 IE。然而,你可能覺得不要用 IE 就沒事了,最新的安全報告卻顯示,它的存在本身就是一個漏洞。
根據《Mashable》報導,資安研究員 John Page 近期發現駭客的最新手法,即便用戶沒有使用 IE 瀏覽任何網站,仍舊可能遭到攻擊。其原理利用 IE 慣有的 XML External Entity(XXE)漏洞進行攻擊,只要使用者開啟特定設計的檔案,對方就可以遠端安裝監控程式或者下載文件。
駭客會製作具有一連串控制碼的「.MHT」檔案,副檔名多數電腦的預設程式都是 IE,即便已經將默認的網頁瀏覽器改為 Chrome,電腦還是會習慣以 IE 來啟動,因為 Chrome 預設並不會啟動 .MHT 文件。
簡單來說,檔案隨著電子郵件、網路釣魚等各種方式讓用戶下載、點擊後,便會直接觸發 IE 的漏洞,接著駭客就得以逐步獲得電腦的掌控權。此外,即便 IE 具備基本的安全防諜,聰明的駭客自然將漏洞設計會繞過保護網。
Page 實測使用 IE 11 成功驗證漏洞的存在,表示影響的版本包含 Windows 7、Windows 10、Windows Server 2012 R2。目前已經通報微軟,官方表示預計未來會盡快修補。在此提醒讀者,除了.MHT 的副檔名別亂開以外,對於來路不明的檔案都要有所警戒。
微軟網路安全部門主管 Chris Jackson 於二月份就曾在官方部落格呼籲,要大眾別再使用 IE 瀏覽器,除了網路支援性不佳以外,安全性更是一大隱憂。官方早於 2016 年就停止發佈 IE 11 以前的安全性更新,使用 IE 遭到駭客與病毒攻擊的可能性也將大幅提高。
| 
