標籤: IE

趨勢科技將繼續為舊版 IE提供防護

趨勢科技 TrendMicro

Microsoft 宣布停止支援舊版的 Internet Explorer 瀏覽器,也就是 IE 8、9、10。這項聲明是 2016 年 1 月份例行安全更新 (Patch Tuesday) 所發布消息之一,同時間發布的其他消息還有 Windows 8 也將終止支援。這意味著,Microsoft 將不再更新舊版的 IE 瀏覽器,即日起唯有使用最新的 IE 版本 (Internet Explorer 11) 才能獲得更新和修補 (除少數例外之外) 。不論是一般使用者或企業用戶,只要沒有升級到最新的瀏覽器版本,就有可能暴露在危險當中。

舊版的 IE 瀏覽器將不再收到任何修補程式,任何有關舊版

瀏覽器的安全問題也將不再修正,如此一來,使用舊版瀏覽器的系統將無法抵抗新發現的威脅。萬一出現新的專門針對舊版 IE 的零時差漏洞攻擊,系統將因無修補程式可用而受到攻擊。此一漏洞修補落差將隨著時間而擴大,其潛在攻擊風險也將越來越高。過去,IE 瀏覽器一直是漏洞攻擊套件最愛的目標,最近就出現了專門攻擊  Hacking Team 資料外洩 揭露之某漏洞的案例。

目前還有相當多的使用者仍暴露在危險當中,根據 Net Market Share 在 2015 年 12 月所做的瀏覽器使用率調查顯示,將近 20% 的使用者仍在使用舊版 IE 瀏覽器:

圖 1:2015 年 12 月瀏覽器使用率調查。

此問題的解決之道,依然是升級至最新版的瀏覽器。升級至最新版本不僅可以藉由新版本的功能來提升安全,還可提供更順暢的使用體驗,並且符合最新的網站標準。不過,有些企業可能需要更多時間來測試並解決瀏覽器相容性問題,避免其仰賴 IE 的內部網站應用程式無法運作。針對這類企業,Microsoft 的EMET 倒是一個相當不錯的實用工具。 繼續閱讀

更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架

趨勢科技 TrendMicro

想更新瀏覽器嗎?要先確認是從合法管道下載,不要下載到偽裝成瀏覽器更新程式的惡意軟體到電腦上。

趨勢科技最近看到一篇報導指出,有許多網站提供瀏覽器更新程式,像是Firefox、Chrome和Internet Explorer,還有其他更多版本。使用者點到惡意廣告就有可能進入這些網頁。

這惡意威脅的幕後黑手想盡辦法讓這陷阱看起來像是真的。這些網頁就如下圖所示,看來就像是瀏覽器的官方網站。為了進一步引誘使用者下載假更新程式,這網站甚至還提供了整合的防毒保護:

 

更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架
更新Firefox、Chrome和 IE,還附贈防毒功能?!當心首頁被綁架

只是使用者下載的並不是更新程式,而是被偵測為JS_DLOADR.AET的惡意程式,它會改變下載的二進位檔案而有不同的惡意行為。

接下來,惡意JavaScript會下載TROJ_STARTPA.AET,並儲存成瀏覽器下載目錄內的 INSTALL.EXE。根據趨勢科技的初步分析,這木馬程式會修改使用者的IE瀏覽器首頁為https://{BLOCKED}rtpage.com,這是一個可能含有其他惡意程式的網站,好進一步感染使用者的電腦。 繼續閱讀

IE, Chrome, Firefox三巨頭,漏洞數量比一比

趨勢科技 TrendMicro

最近Microsoft Internet Explorer 出現了零時差漏洞,一股排山倒海建議大家改用其他瀏覽器的聲浪又出現了。

單就漏洞數量來看Microsoft Internet Explorer ,Google Chrome, Mozilla Firefox這「三巨頭」領先的其實不是 IE,而是Google Chrome。

過去五年來,Microsoft Internet Explorer 在這方面呈現逐漸減少的趨勢。

趨勢科技資安專家Rik Ferguson 在以下的文章中表示:”每一種瀏覽器都有其弱點、漏洞與修補程式 (最後一項有可能沒有)。每個人有自己合適的選擇,針對不同的安全工具和技巧,您需要對瀏覽器、技術或威脅特性有不同程度的熟悉,才能有效保護自己,又不會讓您無法順利上網。” 

Internet Explorer:寧願選擇您熟悉的惡魔?(Better the Devil You Know?)

作者:趨勢科技資安專家Rik Ferguson

影像來源:Steve Dinn

過去幾天,有關哪個瀏覽器最安全的爭論又再度興起,主要原因是最近Microsoft Internet Explorer 出現了零時差漏洞。由於此漏洞影響廣泛,因而造成一股排山倒海的善意聲浪建議大家改用其他瀏覽器。資訊安全專家企業執行長甚至是德國政府(又再一次) 不斷提出這樣的呼籲,但問題是,這樣的作法有多實際?更重要的是,有多大幫助?

資訊安全不是針對別事件立刻本能反應就能解決,資訊安全需建立在一套能降低長期暴險及風險的策略。這套策略還應避免純粹為了改變而改變,因為,採用新技術所帶來的不熟悉,反而可能引來人為的漏洞。

目前最熱門的 Internet Explorer 替代方案 (以及目前最受推崇的) 是 Google Chrome 和 Mozilla Firefox,但兩者並非全無漏洞或零時差漏洞。事實上,如果攤開眼前的一些證據,我們甚至可以說 Internet Explorer 反而是所有瀏覽器當中問題最不嚴重的。
2011 年,Google Chrome 的新漏洞通報數量創下新的紀錄,達到 275 個,是該瀏覽器問世以來漏洞數量整體上揚趨勢當中的最高點。Mozilla Firefox 目前雖然已從其 2009 年的最高點開始下降,仍然有 97 個已通報漏洞。過去五年來,Microsoft Internet Explorer 在這方面呈現逐漸減少的趨勢,而且在 2011 年只出現 45 個新的漏洞,比其他任何瀏覽器都低 (除了 Apple 的 Safari 同樣為 45 個之外)。當然,單就漏洞數量來看並無太大意義,除非我們將嚴重性也考慮進去,但即使這樣,就「三巨頭」的數據來看仍舊是 Internet Explorer 佔優勢。若再將零時差漏洞也考慮進去,那麼,情勢也沒有太大差異:Google Chrome 有 6 個、Microsoft Internet Explorer 有 6 個,而 Mozilla Firefox 則是 4 個。

不過,很單純的一項事實是,我們太過關注於零時差漏洞 (例如這次的例子),光是聽到「零時差漏洞」這個名字,就連一些不甚了解其涵意的人也會膽顫心驚。企業總是很難讓所有瀏覽器都更新到最新的版本 (就連個人使用者亦不例外),更何況可修補的漏洞數量遠超過偶爾出現的零時差漏洞。不管情況如何,現在的攻擊已開始越來越針對一些跨平台瀏覽器通用的外掛程式,而非瀏覽器本身,如:QuickTime、Flash 或 Acrobat。不然就是單純針對瀏覽器的使用者而設計 (如網路釣魚(Phishing)、假冒知名網站或其他社交工程陷阱( Social Engineering)攻擊手法)。

面對現實吧,您的瀏覽器本來就無法保障您的安全,不論是誰開發的都一樣。您必須採取一些步驟來自我防衛,不論您使用何種瀏覽器。

每一種瀏覽器都有其弱點、漏洞與修補程式 (最後一項有可能沒有)。每個人有自己合適的選擇,針對不同的安全工具和技巧,您需要對瀏覽器、技術或威脅特性有不同程度的熟悉,才能有效保護自己,又不會讓您無法順利上網。

針對絕大多數的情況,我們最好的建議是繼續使用您最熟悉的瀏覽器,但請採取一些安全措施。若您冒然改用其他您不熟悉的瀏覽器,反而可能因為不熟悉而讓您比之前更不安全。

資訊安全軟體終究是個人電腦必備的工具,就像安全帶之於汽車一樣,而且,不論廠商是否已釋出修補程式,這些工具都能提供您更好的漏洞與攻擊防護。如果您想進一步了解背後的原因,這份報告是一個不錯的入門指南。

起身對抗 IE 或許很酷,但是好東西總是會「歷久彌新」。

 相關文章:

  1. 哪一家的瀏覽器最安全,這是個問題嗎? (Which browser is the most secure, is that the question?)
  2. 耶誕快樂!享受新的零時差攻擊吧! (Merry Christmas and a Happy New 0-Day)
  3. 將 Java 而非 Bob’s Java Jive (JavaScript) 停用 (Disable Java not Bob’s Java Jive (or JavaScript))
  4. 網際網路安全日 Twitter 垃圾訊息 (Safer Internet Day Twitter Spam)
  5. Google、中國、四眼天雞與網路對決。(Google, China, Chicken Little and Cyber Armageddon.)

◎原文來源
Internet Explorer:寧願選擇您熟悉的惡魔?(Better the Devil You Know?)

 

◎延伸閱讀

 IE出現零時差漏洞病毒,請修改IE瀏覽器安全性設定

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

《Java 零時差漏洞攻擊》 關閉Java而非JavaScript(含停用 Java 指南)

 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:https://www.facebook.com/trendmicrotaiwan 


APT 攻擊

 

◎ 歡迎加入趨勢科技社群網站