I'n Blog 之萬象真藏

資安公司賽門鐵克(Symantec) 10日警告，網路不肖之徒正利用QuickTime和WinZip尚未修補的安全漏洞，長驅直入他人的個人電腦。

賽門鐵克公司發布安全通告指出，這波攻擊的發射台，是包藏禍心的惡意網站，內含多重的駭客攻擊程式。這些網站佯裝成備受信賴的金融機構網站，但其實是仿冒的，意圖在訪客的電腦中悄悄植入按鍵側錄軟體。這些網站的網址連結可能是透過垃圾郵件中的廣告信流傳。

賽門鐵克發現，原先被用來引誘駭客上鉤的一台PC，本周遭到入侵，進而追查出上述的攻擊行動。

賽門鐵克說：「這種攻擊很有意思，因為這個惡意網站利用2007年1月發現的一個QuickTime安全弱點，以及2006年11月發現的一個WinZip安全弱點。在我們進行分析之前，沒有人知道外頭有人在大鑽這些安全漏洞。」

QuickTime是蘋果使用廣泛的媒體播放軟體。WinZip則是檔案壓縮以及解壓縮程式，使用率也很普及。

除了QuickTime和WinZip安全漏洞之外，網路惡徒也試圖利用微軟軟體的兩個漏洞入侵賽門鐵克的系統。這些弱點均已釋出修補程式。賽門鐵克的這台電腦執行Service Pack 1版的Windows XP作業系統，尚未安裝修補程式。

線上歹徒通常利用各種安全弱點，試圖入侵電腦。網路上甚至有各種駭客工具，讓駭客只需點幾下滑鼠，就能輕鬆架設起惡意網站。

賽門鐵克說：「這項發現凸顯出務必加快修補程式發布的步調，以及駭客的手腳愈來愈快，而且不時更新他們的攻擊策略，以提高攻擊得逞的機率。」(唐慧文/譯)