IE零時差攻擊程式恐蔓延

從上個月開始便傳出有多項攻擊鎖定微軟先前公布的零時差漏洞，且近日亦於專門測試安全漏洞的Metasploit滲透測試工具中發現針對該漏洞的攻擊程式，大幅提高該漏洞遭到攻擊的風險。

微軟在9月17日釋出2887505安全通告，說明一可能影響所有IE版本的零時差攻擊漏洞，並以Fix it提供暫時性修補。不過，從上個月開始便傳出有多項攻擊鎖定該漏洞，且近日亦於專門測試安全漏洞的Metasploit滲透測試工具中發現針對該漏洞的攻擊程式，大幅提高該漏洞遭到攻擊的風險。

微軟在公布該漏洞時便表示，已發現少許鎖定該漏洞的目標式攻擊，資安業者FireEye隨後則證實，今年8月針對日本企業的Operation DeputyDog攻擊行動即鎖定該漏洞，並在9月30日指出有其他3個攻擊行動皆鎖定該漏洞進行進階持續性攻擊（Advanced Persistent Threat，APT）。

另一資安業者Websense Security Labs則說，可能有高達70%的個人電腦都受到該漏洞的威脅。而且相關攻擊並不僅限於日本，偵測發現有不同的攻擊行動與攻擊團隊亦鎖定該漏洞。

外界近來也發現，Metasploit的滲透測試工具已納人了該IE漏洞的攻擊程式，使得疫情有擴大的可能。

資安業者Rapid7旗下的Metasploit專案為一電腦安全專案，提供各種安全漏洞的資訊並可進行滲透測試，Metasploit還有一個開放源碼的Metasploit Framework子專案，是一個用來開發漏洞攻擊程式的工具。攻擊程式開發人員Wei Chen則於本周一（9/30）將鎖定該漏洞的模組捐贈給Metasploit滲透測試工具，Chen表示，他所打造的攻擊模組是基於駭客開採該漏洞的攻擊程式。

既使Metasploit專案的宗旨在於供資安人員研究所用，但也有不少駭客習慣藉由Metasploit內含的資訊與工具來進行攻擊，使得專家認為這將大幅提高此一IE零時差漏洞的風險。

微軟已在著手打造該漏洞的正式版修補程式，但尚未釋出。（編譯/陳曉莉）
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第351波大放送) : 人人回帖有獎勵
(第350波大放送) : 人人回帖有獎勵
(第349波大放送) : 人人回帖有獎勵
(第348波大放送) : 人人回帖有獎勵
(第347波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>


★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★                          **以上報告完畢**                          ★
★     如果可以的話,幫我評個分數或是送一多花給我^^          ★
★     您的評分與鮮花,是我下次再發帖的原動力                   ★
★                                 謝謝~                                   ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

====================================================
                                                                                   2013/10/02 By 游幃翔