微軟於上周緊急發佈IE零時差漏洞更新並呼籲用戶儘速安裝,編號為CVE-2019-1367,發生在IE腳本引擎處理記憶體物件的過程中,會造成記憶體毁損,使攻擊者可在現有使用者電腦上執行任意程式碼。成功開採本漏洞的駭客,可取得和現有使用者相同權限,如果後者具有管理員身份,則攻擊者將能接管整台機器,進而安裝程式、修改/變更/刪除資料,或是新增完整權限的用戶帳號。在Web攻擊情境中,攻擊者可能發送郵件,誘使IE用戶點選其中URL以造訪惡意網站對用戶發動攻擊。受影響的IE版本有9、10和11。但Windows 10 1903版上的IE 11修補程式,則只能由Microsoft Update Catalog手動安裝。
另外同時還有編號為CVE-2019-1255的漏洞,則和Windows內建安全軟體Microsoft Defender(原名Windows Defender)中的惡意程式防護引擎(Malware Protection Engine)處理檔案不當有關,但沒有那麼嚴重,也沒有發現有攻擊行為,而且微軟也在幾天後發佈更新版本引擎。
ESET資安專家建議,雖然Internet Explorer已經不再獲得微軟的繼續開發,不過現在仍有不少使用者或機構採用,故需定期注意微軟的安全更新,以防駭客入侵或網路攻擊;還有不管是Internet Explorer瀏覽器、其他瀏覽器或是其他應用程式,都應該保持在最新版本並特別注意網路釣魚攻擊或DoS漏洞。
*****若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/