agenda的部落格

近來傳出已有駭客針對未修補的IE 8漏洞進行攻擊，微軟於5月3日證實的確含有漏洞，並正進行修補。

微軟提出了權宜補救措施，並建議使用者升級到其他IE版本。然而，對於Windows XP的使用者來說，IE 8是所能夠使用的微軟官方瀏覽器的最高版本，微軟並不允許Windows XP使用者升級到更新的IE 9及IE 10。

根據Net Applications的調查數據，目前IE的各種版本中就以IE 8的市佔率最高，達23.08%，IE 9為18.17%，IE 6為6.22%，IE 10則佔了6.02%。

資安業者Invincea上周指出，駭客攻陷美國勞工部網站的某些網頁，將造訪者導至其他網站並使其下載木馬程式，駭客利用的就是IE 8漏洞。因此舉凡使用IE 8瀏覽器的使用者皆可能受駭。進一步分析發現，被駭的網頁都與核災有關，應屬水坑攻擊（Watering Hole），駭客鎖定的是那些專門研發核武、來自美國能源部的員工。

Invincea在通報微軟後，微軟則證實了該漏洞的存取，並正展開調查，初步顯示只有IE 8含有該漏洞，其他諸如IE 6、IE 7、IE 9及IE 10皆未受影響。

微軟表示，該漏洞是因為IE存取了記憶體中已被移除或未被適當擺放的物件，造成記憶體毀壞並導致遠端程式攻擊漏洞。