【大纪元4月29日报导】(中央社记者钟荣峰台北29日电)针对微软浏览器IE可能出现重大安全漏洞,资策会资安所表示,网页浏览器的弱点攻击,已是近年骇客入侵最兴盛的手法,资安所推出5大防护要点。
针对传闻骇客利用网页浏览器弱点进行攻击,资策会资安科技研究所观察表示,网页浏览器的弱点攻击,已是近年来骇客入侵最兴盛的手法,例如2013年的JavaSE Classes 权限认验证存取机制弱点,也曾造成大规模的资安危害。
资策会资安所所长高天助表示,因应骇客的攻击模式改变,使用者应该加强对网页浏览器的安全防护,避免成为僵尸电脑的一员。
针对网页浏览器的弱点攻击,资策会资安所建议使用者可遵守五大防护要点。
一、养成良好的网路使用习惯,不随意点选电子邮件中的超链接或连往没有经过安全确认的网站。
二、使用最新版的网页浏览器,安装所有的安全修补程式,并启用浏览器安全模式或使用较低权限来执行网页浏览器。
三、不安装或安装最小量的浏览器插件(plug-in)。
四、使用主机型入侵防御软体(HIPS)或弱点攻击预防软体(例如微软的Enhanced Mitigation Experience Toolkit),预防与避免新式的攻击。
五、用更安全版本的作业系统或系统架构(例如64-bit架构)。
资策会资安所指出,使用者必须留意,现在的攻击可被区分为“大规模的僵尸网路布署”与“针对性的进阶持续性渗透APT攻击(Advanced Persistent Threat)”两大类威胁。
资安所表示,在“大规模的布署模式”下,骇客会入侵流量大或点阅率高的网站,透过网站的流量大量散播恶意程式,拥有巨量的僵尸电脑并窃取个资。
至于“针对性的攻击模式”,资安所表示,骇客是透过水坑式攻击手法,利用研究入侵对象的网路使用习惯,再搭配鱼叉式社交电子邮件,要求使用者点选连结前往骇客自建的网站路径。由于路径是骇客建立,一般使用者不会误触该连结,受害范围往往仅局限在收到鱼叉式社交电子邮件的目标。
