安全專家警告,微軟IE瀏覽器的影像呈現功能被發現有瑕疵,攻擊者可能藉此在遠端執行程式。
電腦安全顧問兼作者Michal Zalewski表示,他在IE處理JPEG影像檔的過程中發現幾項瑕疵,其中之一可被利用自遠端強制執行程式,這類攻擊通常被安全業者視為「危急」情況。
Zalewski在網站上公布了四個專門針對這些瑕疵的概念驗證影像檔,當中每一個都可能讓最新版、經過Service Pack 2修補的IE 6當機。根據SecurityFocus網站的貼文,之前各版的IE也可能受影響。其中兩個影像檔還會造成記憶體和CPU的問題。
Zalewski說他並未在公布前通報微軟公司,因為該公司的問題通報程序令他不滿。Zalewski在安全網站Neophasis的貼文寫道:「我的經驗是,向微軟通報和討論安全問題是不必要的冗長過程,對研究者施加太多的負擔和工作,尤其是當你只有當機的案例,而非實際可行的攻擊;因此,這次他們沒有事先得到通知。」
微軟的代表說:「微軟正在調查有關IE可能存在安全弱點的新報告,但我們尚未發現任何攻擊。這項調查完成後,微軟將採取適當的行動協助保護我們的顧客。微軟相當擔心這項IE可能弱點的新報告,並未依負責的方式揭露,可能讓電腦使用者面臨風險。」
本週稍早,另一項影響IE與MSN Messenger的影像處理漏洞才被公布。該問題是起於兩項應用軟體處理國際色彩聯盟特性檔(International Color Consortium Profiles)的瑕疵,但微軟已在上一次的安全更新修補這個問題。
有關最新瑕疵的詳細訊息,請參閱SecurityFocus網站的病毒報告編號14282與14284 |
發表於 2005-7-24 22:05:23