作者 主題: 轉載IE漏洞  (閱讀 4075 次)

0 會員 與 1 訪客 正在閱讀本文。

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
轉載IE漏洞
« 於: 2002-06-17 12:46 »
IE瀏覽器Gopher漏洞很危險
Joe Wilcox  13/06/2002




微軟公司發布重大安全警報,提醒使用者當心Internet Explorer瀏覽器的一個安全漏洞,該瑕疵可能讓駭客利用一種過時的網際網路協定自遠端遙控他人的電腦。

新發現的瑕疵利用「小田鼠」(Gopher)資訊系統,一種幾乎已被淘汰的網際網路協定,自遠端電腦竊奪資料。Gopher以階層式結構顯示資訊,有如小田鼠一直往下鑽洞,故得其名。Gopher只支援文字環境,在支援超文字傳輸協定(HTTP)的全球資訊網(WWW)盛行後,大致上已消聲匿跡。

芬蘭安全公司Online Solutions在5月20日發現IE這個弱點,並於上周提醒民眾。

但這個威脅的嚴重程度超出Online Solutions當初的預料。此安全漏洞也存在於微軟的伺服器軟體。微軟認為,這對使用IE 5.01、5.5和6.0版的客戶端電腦,以及使用Proxy Server 2.0或ISA Server 2000的網際網路或內部網路伺服器,都構成重大威脅。


在11日晚間貼出的服務佈告欄上,微軟指出,舊版的伺服器軟體可能容易讓駭客乘虛而入,而舊版的IE也可能受害。微軟並不提供這些舊版軟體的修補程式。

微軟佈告欄指出,問題出在「處理Gopher伺服器回傳資訊的程式碼中,含有未經檢查的緩衝區」。

儘管Gopher已乏人使用,但IE仍然支援這種舊式協定。駭客可能利用緩衝區溢滿的臭蟲,使客戶端電腦受制於執行惡意程式的伺服器,進而掌控那部電腦,隨心所欲存取資料、拷貝檔案或安裝程式。

這個漏洞的問題之所以特別嚴重,是因為IE使用者不必連結上一部Gopher伺服器也可能受害,只要在網頁或內含超文字標示語言(HTML)的電子郵件植入程式碼,就可能把使用者的電腦重新導向Gopher伺服器。

就伺服器方面,影響可能更嚴重,因為駭客能夠完全控制受害的伺服器,例如把硬碟重新格式化,或篡改管理員登入伺服器的帳號密碼,然後佯裝成合法的使用者,存取各種功能或網路服務。

現成的安全環境設定可以阻撓或減輕這種威脅。佈告欄說:「如果安全政策禁止使用者刪除檔案或更改安全設定,則駭客的程式碼也無技可施。」

但即便是最嚴格的安全設定,也可能不足以防止駭客發動攻擊。微軟舉例說,把Outlook電子郵件設定設成「限制區」(Restricted Zone)的使用者,仍可能經由HTML電子郵件而受影響。

微軟尚未提供新安全漏洞的修補程式,但已提供臨時的補救方法。其中一種讓伺服器排除問題的解決方案,是封閉TCP 70埠的通道,即可阻擋Gopher協定的資料存取。

IE的使用者則必須費一番工夫,用手動方式攔阻Gopher通路。可試者到工具(Tools)選單,選取「連結」(Connections)項下的「區域網路(LAN)設定」,然後讓原先打勾的 「自動偵測設定」框框變成空白,改為勾選「LAN使用Proxy伺服器」的框格。在「進階選項」下,確定解除勾選「所有協定皆使用相同的proxy伺服器」這個框格。最後到Gopher 文字欄位,在連接埠設定方塊中,輸入「localhost」和「1」。

微軟11日公布的安全佈告欄中,提供更深入的指示。

最新通報的安全漏洞,只是為微軟近來一長串的安全問題再添一筆,儘管董事長蓋茲元月時已通令公司上下加強安全防護。

上周,微軟才發布網路應用軟體工具ASP.NET的安全警戒。其他最近已知的微軟產品安全瑕疵還包括:影響IE處理cookie檔案的問題、IE cross-scripting臭蟲、讓駭客闖入MSN Messenger及Windows Messenger的緩衝區溢滿問題、MSN Messenger聊天功能可能遭駭客侵入等等。 (唐慧文)
佈線深似海!
網路高如天!