研究人员日前透露,目前已有广告软件经营商利用着微软IE浏览器中两个以前不为人知的漏洞在脆弱的计算机上强制安装工具栏。
PConline“软件资讯”在前天的新闻中已对IE中的两个漏洞作了披露,其中一个漏洞允许攻击者在受害机器上运行程序,另一个漏洞使恶意代码得以“跨越区域”或以高于“标准”的权限运行。如果被联合起来利用,只要用户访问了恶意站点,网页就会把一个程序上传并安装到脆弱的计算机中。
反病毒公司Symantec在其站点上表示,现在已有公司利用IE的上述漏洞在IE浏览器上安装属于广告工具条的“I-Lookup”搜索栏。该广告软件会更改IE的首页,连接到广告站点上并频繁地弹出色情广告。
域名搜索显示,i-Lookup.com的总公司为Aztec Marketing。不过,反病毒公司PestPatrol认为是iClicks Internet网站。最初披露这一问题的研究学者Jelmer Kuperus认为i-Lookup.com的总公司可能不是安装广告木马程序的罪魁祸首,但它对这一行为的态度应该是鼓励的。
微软公司安全程序经理Stephen Toulouse表示,某个集团或公司可能已经利用这两个漏洞来向用户强制推广令人讨厌的广告软件,这种做法最终将会以被提起犯罪起诉告终。“我们认为任何利用漏洞来运行程序的做法都是犯罪行为。我们将会采取积极的法律措施起诉有如此行径的个人或公司。”
微软是在本周一分析人员公布了漏洞的完整披露过程后意识到问题的存在的。软件巨头已经和美国联邦调查局取得了联系并已初步立案。Toulouse表示,为了用户的安全着想,微软将会尽快随时推出相关的补丁程序,而不会遵照现行的月度更新机制。用户也可以参照微软网站上的说明来巩固自己的IE以避免受到诸如此类的攻击。
据了解,其他适用于Windows的浏览器,包括Opera和Mozilla等,都不带有类似的漏洞。
|
