IE 再度被發現新的漏洞,即使不開啟,也有遭到駭客入侵的風險。
微軟自己開發,卻又自己淘汰的舊款 Internet Explorer(IE)瀏覽器,不時傳出安全漏洞早已是司空見慣的事,從前的安全性評估,也鮮少獲得好評。連帶影響微軟最後推出 Edge 來取代 IE 。但是,你可能不要以為不開啟 IE,只使用 Chrome 就沒事了,因為最新的安全報告顯示,它的存在,本身就是一個大漏洞。
根據《Mashable》報導,負責資訊安全的研究員 John Page 在近期發現駭客的新手法,就算用戶並未開啟IE瀏覽任何網站,仍然有可能遭到攻擊。這個原理是利用 IE 本身就有的 XML External Entity(XXE)漏洞進行攻擊,當特別設計的檔案被使用者開啟後,駭客就能遠端安裝監控程式在使用者的電腦中,或是自行下載文件。
方法也很簡單,駭客會製作內含一連串控制碼的「.MHT」檔案,多數電腦開啟這個副檔名的預設程式都是IE,就算已經將預設的瀏覽器改為 Chrome,電腦還是會習慣開啟 IE 來這類型的檔案,因為 .MHT 文件並不在 Chrome 的預設啟動名單中。
而這類檔案可以隨著電子郵件、網路釣魚等各種管道,先引誘用戶下載,在用戶不知情的狀況下點擊後,便會觸發 IE 的這個漏洞,接下來駭客就能逐步獲得電腦的掌控權。此外,雖然 IE 具備基本的安全防護功能,卻無法阻止聰明的駭客繞過保護網攻擊電腦。
在 Page 實測使用 IE 11 後,已成功證實這個漏洞的存在,連帶受到影響的版本包括 Windows 7、Windows 10、Windows Server 2012 R2。Page 目前也已經通報微軟這個漏洞的存在,微軟也表示會盡快在未來將這個漏洞修補好。
只是還沒未釋放修補程式之前,使用者除了不要亂開啟有副檔名 .MHT 的檔案外,對於來路不明的檔案都要提高警覺,不要任意開啟。
身為微軟網路安全部門主管的 Chris Jackson,在今年2月份就曾在官方部落格呼籲大眾,不要再使用 IE 瀏覽器,因為除了網路支援性不佳以外,安全性更是一大問題。官方也早在 2016 年就停止發佈 IE 11 之前版本的安全性更新,因此用戶若繼續使用 IE,遭到駭客與病毒攻擊的風險也將大幅提高,不可不慎。