IE 7安全仍有問題　駭客透過Word檔Active X攻擊

McAfee指出，將Active X控制項內嵌於Word檔並不是新鮮事，但利用Active X控制項來偵測(ping)駭客主機的攻擊程式碼，則絕對是個創新的手法。


微軟在上星期緊急發佈IE 7修補檔案，但據安全業者，駭客仍可透過內嵌於Word檔的Active X控制項，讓使用者不自覺地下載並執行惡意程式碼。

甫於上個星期，微軟才罕見地再次緊急發佈修補檔案，防堵日益嚴重的IE 7瀏覽器安全問題。但McAfee隨即在該公司Avert Labs安全研究實驗室的部落格中指出，駭客仍可透過Word檔的Active X控制項來利用IE 7的安全漏洞。

該公司指出，他們已發現許多網站正在進行此類的攻擊，而且各種變種也相繼出現。顯見駭客正不斷創新攻擊的方式，利用社交工程的手法來讓不擅網路技術的使用者上鈎。

內嵌Active X控制項的Word檔文件，可透過垃圾郵件的方式夾帶，或是經由已被駭的網站來傳送。McAfee安全研究與傳訊總監DavidMarcus媒體表示，將Active X控制項內嵌於Word檔並不是新鮮事，但利用ActiveX控制項來偵測(ping)駭客主機的攻擊程式碼，則絕對是個創新的手法。

Marcus指出，在檔案中內嵌一個Active X控制項，控制項裡則內含暗中能讓使用者連上惡意軟體網站的方法。這是一種陰險潛伏的攻擊手法，因為當你連上駭客網站時卻不自知。

微軟的IE安全漏洞在12月9日陸續接獲回報，更糟糕的是，中國安全軟體公司還不慎將如何進行攻擊的程式碼外流。微軟隨後便開始一連串的緊急措施，包括暫時性的安全建議與緊急發佈修補檔案。

目前有多少網站遭受波及仍是個未知數，但根據許多報告指出，至少已有上千個合法網站已遭駭，並藉此隨機攻擊仍未安裝修補檔的瀏覽器。