攻擊程序鎖定IE漏洞 微軟建議關閉ActiveX

專家警告，微軟網頁浏覽器IE某個尚未修補的嚴重漏洞，已遭攻擊程序鎖定。

攻擊碼已通過公共網站對外擴散，極可能被歹徒利用。微軟上周發布聲明，表示正在調查該問題。微軟代表說：“初步調查顯示，這個攻擊程序可令攻擊者破壞內存。”在補丁程序發布前，微軟建議使用者暫時關閉ActiveX，並控制指令碼執行。

根據賽門鐵克上周對其DeepSight安全情報服務客戶發出的警報，該漏洞是出於ActiveX某個多媒體相關功能的錯誤。若不慎浏覽到惡意網頁，，即可能被利用。攻擊者可借此控制Windows系統，或造成IE當機。

法國安全公司FrSIRT上周發出的警報也指出，所有Windows現用版本上的IE 5.01和IE 6 都受到影響。該公司將此列為最嚴重的風險等級。微軟表示，使用安全強化機制Enhanced Security Configuration的Windows 2003系統不受此漏洞影響。

微軟表示，調查完成後，可能通過每月固定的安全更新發布修補程序。微軟目前沒有接獲利用此弱點成功發動攻擊的通報。

微軟在新漏洞曝光的前一日才剛完成本月份的安全更新。這次更新包含三個安全快報，分別針對Windows和Office.此外，針對前兩次出錯的IE更新，微軟也發布第三個版本。

近幾個月來，新攻擊碼幾乎都緊跟在微軟固定的安全更新後出現。專家認為這並非巧合，而是攻擊者刻意借此取得整整一個月的時間優勢。