安全专家:上万恶意网站正利用IE新漏洞

微软IE浏览器中的一个没有修复的安全漏洞在本周二引起了人们的不安。一位安全人员本周三说，可能有1万个以上的恶意网站将利用这个安全漏洞，如果这些恶意网站的拥有者升级最新版本的WebAttacker利用漏洞工具的话。

这个安全漏洞是佛罗里达州的Sunbelt软件公司在本星期二首先报告的。这个安全漏洞已经被用来攻破用户的计算机以及向用户计算机下载大量的广告软件和间谍软件以及其它恶意代码。使用IE6版本以下浏览器软件的用户在访问这类恶意网站时很容易受到感染。

安全公司Websense的研究主管DanHubbard说，俄罗斯的一个团伙以20美元的价格出售一个名为WebAttacker的工具软件。这个软件能够利用多种安全漏洞，包括这个新发现的IE安全漏洞。Hubbard和Sunbelt软件公司的本周二都指出了WebAttacker工具软件，但是，他们都没有证据来证明这个事情。

杀毒软件公司赛门铁克本周三在其安全团队的博客中介绍说，WebAttacker是一个模块式的黑客工具，使用一个简单的网络界面让攻击者选择大量的可以利用的安全漏洞，专门用来对付访问恶意网站的网络用户。这个工具能够识别软件的版本，然后选择最佳的可以利用的安全漏洞。

互联网安全系统公司X-force研究所的GunterOllmann说，未来24小时至48小时将会显示出这个安全漏洞对于IE浏览器用户有多么危险。他认为，大规模攻击将在本周末之前爆发。

然而，Hubbard认为，研究人员要等到周末之后才能清楚地认识到这个问题的影响范围。这还将影响到微软什么时候发布补丁的决定。

Hubbard做结论说，我把这个威胁的等级列为“高”，尽管到目前为止利用这个安全漏洞的网站数量还不多。这个安全漏洞比早些时候的WMF安全漏洞还要严重，因为有WebAttacker黑客工具。