http://taiwan.cnet.com/news/software/0,2000064574,20090509,00.htm IE漏洞不断 对手浏览器看涨 CNET新闻专区： Robert Lemos and Paul Festa　　 29/06/2004 微软IE浏览器中的一个重大漏洞在上周变成了其他 另类浏览器(诸如Mozilla与Opera)的最佳行销机会。 为了避免遭攻击导致资料或密码外泄，部分安全专 家建议网友必须关闭部分IE功能，或者乾脆改用其他浏 览器以求一劳永逸。上周有不明攻击者利用IE漏洞入侵 多个网页伺服器，并会在网友电脑上偷偷安装 JS.Scob.Trojan远端遥控木马程式。 「我希望微软可尽快推出修补程式，」网际网路风 暴中心技术长Johannes Ullrich表示，「在还没有解药 之前，大家只有两个选择：关闭IE的JavaScript功能， 不然就是改用其他浏览器。」 根据网路安全厂商Websense的纪录，至少有130个 网站会感染造访的用户，而该公司旗下客户至少有200 个已经受害，会试图去下载位於俄国伺服器上的恶意程 式码。这些受害网站都不是知名大站，但却全部都是执 行微软Internet Information Service 5.0网路软体与 SSL加密程式。 非微软浏览器，比如Opera、Mozilla，以及 Firefox(由Mozilla基金会推出)则比较没有这类漏洞， 且普遍倾向於仅着重在网路浏览功能，力求成本本身轻 薄短小，Opera软体公司技术长Hakon Wium Lie表示。 这种作法明显不同於微软，微软讲究让IE可与作业 系统作紧密的结合，一来也可避开反托拉斯议题的争议 。微软不愿就此事发表意见。 软体单一化的影响 外界建议用户改用其他浏览器的说法也呼应了部分 安全研究人员认为软体多元化才能改善安全的见解。许 多软体开发人员与安全专家都曾警告过「单一栽培」 (monoculture)的危险性。此一词汇借用自农耕领域， 意指大规模哉种同一品种将使得农作物易遭单一害虫的 危害。 Mozilla也承认不论使用Mozilla或Opera浏览器， 其价值在於避免「单一化」的危险，而非因自己技术更 为优异。 根据网路分析公司WebSideStory的数据，微软IE浏 览器目前占了95%市场；Mozilla仅有3.5%，Opera更低 至0.5%。 「由於IE使用人口非常庞大，因此可说是个很明显 的目标。」Mozilla基金会工程总监Chris Hofmann表示 。「这是撰写攻击程式者最喜欢的对象，因为产生的效 益最大。」 「若浏览器市场不是这麽单一化的话，攻击者就很 难设计出一次可让绝大多数人都中标的不肖程式。」 Hofmann表示。 IE成了箭靶？ 此外，安全专家也表示使用非微软作业系统的网友 (如Linux或苹果Mac OS)也不会受到上周攻击事件的威 胁。 美国官方网路防卫机构US-CERT在上周五便建议安 全管理员考虑改用非微软的浏览器。 「IE浏览器中有数个重大技术漏洞，」该建议书上 写着，「采用其他浏览器将可有效降低漏洞风险，尤其 是在浏览未受信赖网站时。」 该建议书指出IE浏览器有好几种技术都隐藏许多安 全问题，比如Active X语言程式、安全区域区分模式， 以及JavaScript。不过该组织也表示关闭部分IE功能便 能有效增加安全性。 「改用其他网路浏览器只是方法之一，」CERT协同 中心网路安全分析师Art Manion表示。「我们不会建议 用户应该用哪套产品比较好，但是这样的考量也非无的 放矢。」 CERT组织也表示即使换了非IE浏览器，但依然继续 执行Windows作业系统还是有风险存在，因为Windows本 身有部分相当依赖IE功能。 Mozilla的Hofmann建议有意淘汰IE浏览器的 Windows用户可先更改IE安全设定等级就可避免遭到类 似上周的攻击。Windows的预设值是在「中」，Hofmann 表示调到「高」就应该可提供足够的保护。 他也鼓励网路开发人员停止在网站上使用ActiveX 。 「我们鼓励大家不要使用这类有不少安全漏洞的专 属技术，」Hofmann表示，「ActiveX是漏洞攻击事件最 常被利用的地方，网站应该多站在保护用户的立场来思 考。」(陈奭璁) -- http://www.washingtonpost.com/wp-dyn/articles/A6746-2004Jun25.html --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 203.204.167.208