[新聞] 美國官方網路防衛機構US-CERT建議改用 …

看板Browsers (瀏覽器)作者 (^_^)時間20年前 (2004/06/30 16:51), 編輯推噓3(300)
留言3則, 3人參與, 最新討論串1/1
http://taiwan.cnet.com/news/software/0,2000064574,20090509,00.htm IE漏洞不斷 對手瀏覽器看漲 CNET新聞專區: Robert Lemos and Paul Festa   29/06/2004 微軟IE瀏覽器中的一個重大漏洞在上週變成了其他 另類瀏覽器(諸如Mozilla與Opera)的最佳行銷機會。 為了避免遭攻擊導致資料或密碼外洩,部分安全專 家建議網友必須關閉部分IE功能,或者乾脆改用其他瀏 覽器以求一勞永逸。上週有不明攻擊者利用IE漏洞入侵 多個網頁伺服器,並會在網友電腦上偷偷安裝 JS.Scob.Trojan遠端遙控木馬程式。 「我希望微軟可盡快推出修補程式,」網際網路風 暴中心技術長Johannes Ullrich表示,「在還沒有解藥 之前,大家只有兩個選擇:關閉IE的JavaScript功能, 不然就是改用其他瀏覽器。」 根據網路安全廠商Websense的紀錄,至少有130個 網站會感染造訪的用戶,而該公司旗下客戶至少有200 個已經受害,會試圖去下載位於俄國伺服器上的惡意程 式碼。這些受害網站都不是知名大站,但卻全部都是執 行微軟Internet Information Service 5.0網路軟體與 SSL加密程式。 非微軟瀏覽器,比如Opera、Mozilla,以及 Firefox(由Mozilla基金會推出)則比較沒有這類漏洞, 且普遍傾向於僅著重在網路瀏覽功能,力求成本本身輕 薄短小,Opera軟體公司技術長Hakon Wium Lie表示。 這種作法明顯不同於微軟,微軟講究讓IE可與作業 系統作緊密的結合,一來也可避開反托拉斯議題的爭議 。微軟不願就此事發表意見。 軟體單一化的影響 外界建議用戶改用其他瀏覽器的說法也呼應了部分 安全研究人員認為軟體多元化才能改善安全的見解。許 多軟體開發人員與安全專家都曾警告過「單一栽培」 (monoculture)的危險性。此一詞彙借用自農耕領域, 意指大規模哉種同一品種將使得農作物易遭單一害蟲的 危害。 Mozilla也承認不論使用Mozilla或Opera瀏覽器, 其價值在於避免「單一化」的危險,而非因自己技術更 為優異。 根據網路分析公司WebSideStory的數據,微軟IE瀏 覽器目前佔了95%市場;Mozilla僅有3.5%,Opera更低 至0.5%。 「由於IE使用人口非常龐大,因此可說是個很明顯 的目標。」Mozilla基金會工程總監Chris Hofmann表示 。「這是撰寫攻擊程式者最喜歡的對象,因為產生的效 益最大。」 「若瀏覽器市場不是這麼單一化的話,攻擊者就很 難設計出一次可讓絕大多數人都中標的不肖程式。」 Hofmann表示。 IE成了箭靶? 此外,安全專家也表示使用非微軟作業系統的網友 (如Linux或蘋果Mac OS)也不會受到上週攻擊事件的威 脅。 美國官方網路防衛機構US-CERT在上週五便建議安 全管理員考慮改用非微軟的瀏覽器。 「IE瀏覽器中有數個重大技術漏洞,」該建議書上 寫著,「採用其他瀏覽器將可有效降低漏洞風險,尤其 是在瀏覽未受信賴網站時。」 該建議書指出IE瀏覽器有好幾種技術都隱藏許多安 全問題,比如Active X語言程式、安全區域區分模式, 以及JavaScript。不過該組織也表示關閉部分IE功能便 能有效增加安全性。 「改用其他網路瀏覽器只是方法之一,」CERT協同 中心網路安全分析師Art Manion表示。「我們不會建議 用戶應該用哪套產品比較好,但是這樣的考量也非無的 放矢。」 CERT組織也表示即使換了非IE瀏覽器,但依然繼續 執行Windows作業系統還是有風險存在,因為Windows本 身有部分相當依賴IE功能。 Mozilla的Hofmann建議有意淘汰IE瀏覽器的 Windows用戶可先更改IE安全設定等級就可避免遭到類 似上週的攻擊。Windows的預設值是在「中」,Hofmann 表示調到「高」就應該可提供足夠的保護。 他也鼓勵網路開發人員停止在網站上使用ActiveX 。 「我們鼓勵大家不要使用這類有不少安全漏洞的專 屬技術,」Hofmann表示,「ActiveX是漏洞攻擊事件最 常被利用的地方,網站應該多站在保護用戶的立場來思 考。」(陳奭璁) -- http://www.washingtonpost.com/wp-dyn/articles/A6746-2004Jun25.html -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.204.167.208

218.160.29.173 06/30, , 1F
所以我對華而不實的網站很反感
218.160.29.173 06/30, 1F

218.166.208.218 06/30, , 2F
這些所謂以ie為核心的軟體 也會中標嗎@@
218.166.208.218 06/30, 2F

203.204.167.208 07/03, , 3F
也會,因為核心都是IE,漏洞是相同的
203.204.167.208 07/03, 3F
文章代碼(AID): #10udyM5q (Browsers)
文章代碼(AID): #10udyM5q (Browsers)