| 網路○泡泡○新聞 Internet Pop-up News:電腦資訊:IE無法抗拒HTML.exe的攻擊 |
○IE無法抗拒HTML.exe的攻擊○最近Microsoft公司宣佈它的IE瀏覽器已經被偵測到一個漏洞,這個漏洞能讓駭客利用惡意的網頁或電子郵件對電腦執行任何動作。 這個易受攻擊的弱點出現在所有安裝IE 5和IE 5.5的Windows作業平台。這個漏洞是由西班牙的Juan Carlos G. Cuartango發現的, 詳細內容已經張貼在Microsoft科技網站的安全佈告欄上。 基本上,一個多目的性網路電子郵件延伸檔(MIME, Multipurpose Internet Mail Extensions)的虛假頭端, 能指使IE瀏覽器執行電子郵件的附加檔案去破壞一部電腦。因為HTML電子郵件是網頁,IE會呈現這些網頁, 並以合適的MIME型態打開雙重的附加檔案。 什麼是多目的性網路電子郵件延伸檔(MIME, Multipurpose Internet Mail Extensions)呢? 簡單的說,MIME是為格式化非ASCII訊息所設計的,好讓它們能在網路上被傳送。 許多電子郵件的客戶端現在都支援MIME,讓他們可以經由網路電子郵件系統收發圖檔、聲音檔、影像檔。 另外,MIME還可以支援ASCII以外的符號訊息。有許多預先定義的MIME型態,如GIF圖檔和貼稿檔案。 你也可以定義你自己的MIME型態。網路瀏覽器除了電子郵件的應用之外,也支援不同的MIME型態。 網路瀏覽器得以呈現或輸出不是HTML格式的檔案。MIME是1992年由網路工程作業組織 (IETF, Internet Engineering Task Force)所定義的。另一種新版本叫做S/MIME,能支援加密的訊息。 IE瀏覽器在處理MIME型態的過程中出現一個瑕疵,尤其是頭端指定某些不尋常的MIME型態時。 例如,假設攻擊者創造一個HTML電子郵件,裡面含有可執行的附加檔案, 並修改這個MIME的頭端資訊,指定這個附加檔案是屬於不尋常的MIME型態,讓IE以不正確的方式處理MIME, 那麼IE在呈現這封電子郵件的同時,就會自動啟動這個附加檔案。 基本上,一個瞭解這個弱點的使用者,能在網站上留下一封惡意的HTML電子郵件,並誘惑別的使用者去拜訪這個網站。 含程式碼的網頁能打開這封電子郵件,並啟動執行這個程式。 或者說,如果這個駭客意圖很強烈,他可能會將HTML電子郵件直接寄給其他使用者。 這兩種可能性後者所造成的破壞較不嚴重,因為這附加檔案只侷限在這個使用者的許可範圍內。 最糟糕的情況會是:惡毒的使用者能在別人的電腦上執行任何程式。他可以增加、刪掉或修改資料,還可以重新格式化硬碟。 但是,根據安全佈告欄裡所說的,這還不能確定。惡作劇的人還得找到某個天真的人去拜訪一個被他控制的網站, 或是打開他寄發出去的電子郵件。 本質上,要避免這些問題發生,請遵循無數的網路安全公司及專家們的建議:不要打開來自陌生人的附加檔案或網頁。 Microsoft目前在佈告欄上只提到:一般而言,任何電子郵件能自動開啟檔案下載的價值,或許是值得深思的問題。 最好的行動就是在對話框裡按下取消的按鈕。 Microsoft告訴大家不要害怕,因為它已經做了補救。補救之道已經張貼在Microsoft網站 IE瀏覽器下載網頁(英文版)上。 IE瀏覽器的Service Pack 2已補強這個弱點,修正MIME型態的表格及它與IE瀏覽器互動的狀況。 這會阻止電子郵件自動啟動可執行的附加檔案。 然而,這個爭論依然引起大眾對於Microsoft軟體產品的關心與質疑。 二月份才在Microsoft的Outlook和Outlook Express(OE)電子郵件的客戶端發現一個瑕疵。 作為世界公認的第一品牌的軟體廠商,這是必須承擔的重擔。 Microsoft必須在這些偵測到漏洞事件影響範圍還小的時候,趕緊處理喋喋不休與混亂不堪的公共關係, 如果它完全不加理會,將會擴大到成為無法處理的頭痛問題。 Microsoft對此產品瑕疵所採取的隔離、測試與解釋等行動,讓長久以來軟體廠商故意忽略瑕疵並希望它們自然消失的觀念與態度改觀。 令人感興趣的是,Microsoft不再像其他軟體廠商一樣,總是縱容編輯程式碼所造成的錯誤。軟體產品有數百萬行的程式碼,有時候編輯程式碼的過程是不正確的。 事實上,在某些方面,軟體廠商都縱容錯誤的程式碼,因為它們都選擇儘可能早點發表上市,之後在銷售過程中再來修修補補。 這一次Microsoft被偵測到的MIME臭蟲,比其他的電子郵件漏洞還要嚴重,因為是發生在瀏覽器本身可經由電子郵件傳送潛在的恐怖威脅。 Microsoft偵測到裂縫之後幾個小時,就趕緊提出補救辦法。因為沒有一家軟體公司能承受得了如此強烈的衝擊。 從編輯程式碼的角度來看,是相當容易找到問題的。因為在軟體系統中有太多的程式碼了。 你可以把安全的A產品和更安全的B產品混合在一起,而這兩種套裝的軟體組合會創造出屬於它們自己的問題來。 Microsoft詳細地報告所謂的安全小缺點,對該公司是有利的,起碼表現該公司願意面對爭議。 每個好奇的駭客都會沒完沒了地刺探並監督Microsoft巨人的產品,而那些好心人如Guartango也會繼續幫Microsoft剔除缺點。 在Google搜尋引擎裡, 會發現Guartango在偵測Microsoft軟體的安全性,尤其是IE產品,貢獻了相當的精力。 Guartango也在西班牙的安全網站Kriptopolis,示範IE 5 MIME瑕疵是如何運作的。
|
| 網路○泡泡○新聞 Internet Pop-up News |
|
|
||||||||||||||||||||