微軟漏洞修太久,駭客趁機偷百萬帳號

作者 | 發布日期 2017 年 04 月 27 日 13:00 | 分類 Microsoft , 資訊安全 , 電腦 follow us in feedly

就連要保護電腦免遭能力一般的駭客攻擊,都非常困難,想了解為什麼,可以參考以下正式名稱為 CVE-2017-0199 的安全數據流事件,微軟就是個好例子。



路透社報導,這項漏洞異常危險,類型卻相當常見,它藏身在微軟(Microsoft)軟體之中,駭客只需掌握一點蹤跡,就能隔空掌控一台個人電腦。微軟 11 日已在每月例行安全更新中修補這項漏洞。

不過,微軟從發現到修補,一路經歷許多困難,花了 9 個月才補好這個漏洞。網路安全專家說,微軟所花時間異常的久。

舉例來說,Google 安全研究人員只給軟體供應商 90 天期限,之後便公開 Google 自己找出的漏洞。微軟拒絕透露修補漏洞通常所需的時間。

微軟展開調查期間,駭客發現漏洞缺陷,並操作這項軟體對俄羅斯從事監控,可能就在烏克蘭發生。接著一群竊賊利用漏洞,從澳洲與其他國家加強行動,竊取數以百萬計的線上銀行帳號。

網路安全公司研究人員研究這起事件,並且分析攻擊碼版本後,受訪提供上述結論與其他細節。

連串事件在去年 7 月展開,愛達荷州立大學 2010 年畢業生、波伊西(Boise)精品安全公司 Optiv Inc 顧問韓遜(Ryan Hanson),當時發現微軟文書作業軟體 Word 能以另一形式處理文件,這項漏洞讓他能將連結置入惡意程式,接著掌控他人電腦。

(譯者:周莉芳;首圖來源:shutterstock)