星見マーモット: 您還在使用IE嗎？ ─ Internet Explorer出現重大安全性漏洞（2014年4月）

在2014年4月27日，美國國土安全部所屬的電腦緊急應變中心（US-CERT）發出警告¹，微軟（Microsoft Corporation）旗下的網頁瀏覽器Internet Explorer 出現use-after-free²的安全性漏洞（use-after-free成因為程式中繼續使用了已經釋放的指標，而導致的記憶體錯誤），並已有駭客利用此漏洞進行的零時差攻擊（Zero-day attack³）， IE版本從IE6 (windows XP搭載)至IE 11（windows 8.1搭載）都含有此漏洞，但網路攻擊主要集中在IE9到IE11的版本⁴。

此一漏洞首先由美國的網路安全公司FireEye提出⁴ ，其可能導致未經授權的遠端執行程式碼（remote code execution）入侵個人電腦，FireEye將此入侵行動稱為“Operation Clandestine Fox”。利用此安全性漏洞，駭客可以使用一個已知的Flash exploitation technique巧妙的避開DEP（Data Execution Prevention）⁵及ASLR（Address Space Layout Randomization）⁶的防護（方法大略為藉由精心設置的惡意網站來誘導使用者上鉤，使用者一旦利用有漏洞的IE版本瀏覽網頁，就有機會被駭客入侵），駭客在入侵後甚至可以取得電腦的管理者權限、植入惡意程式、任意刪改檔案，造成使用者的龐大損失。

對於以上發生的問題，微軟於2014年5月1日針對各版本IE提出了安全性更新⁷，對於已開啟自動更新的windows用戶，此安全性更新會自動安裝，使用者無須執行其他動作；而對於無法由windows update取得更新的用戶（例如windows XP用戶），則可手動從微軟官網下載更新。因為事件發生的時機正好在微軟宣布不再更新windows XP後（2014年4月8日停止更新），可能有些人會認為這次的事件是微軟為了鼓吹使用者放棄windows XP 而進行的陰謀，但就我的瞭解，本次微軟提出的安全性更新涵蓋了IE6到IE11各版本的瀏覽器，windows XP 可以支援的瀏覽器為IE6到IE8，並可以手動進行更新，且IE8目前仍為世界上使用者最多的IE版本⁸（圖一），故此次事件為陰謀論的可能性應沒有這麼高。

Windows作業系統在世界上的市場佔有率仍高達近9成⁹（圖二），但windows搭載的IE瀏覽器卻不像其一樣有高市佔率，由StatCounter網站提供的統計數據來看，IE的市場佔有率近來逐年下滑（圖三，截至2014年5月的統計，IE的市占率已降至約20%）¹⁰。IE出現重大安全性漏洞已經不只一次了（參考2012年9月、12月之安全性報告¹¹ 以及2013年5月、9月之安全性報告¹²），由發生的多次安全性事件以及使用上的便利性來客觀評斷，可以得知IE的用戶會越來越少不是沒有原因的。在自由市場的前提下，相信只要有其他更好的選擇，使用者自然就有很高機率會捨棄IE（例如：google Chrome截至2014年5月的統計，市佔率已上升至約45%¹⁰）。但也不是說其他瀏覽器的漏洞就一定比IE少，使用者選擇使用一個瀏覽器，除了考慮其穩定性外，其他相關的功能亦為考慮的重點（即不可單就穩定性來解釋市佔率），如google Chrome就結合了google帳號使應用更便利、firefox作為一個開放原始碼的瀏覽器亦受廣大使用者歡迎。總歸來說，不管使用的是何種瀏覽器，養成良好上網習慣、謹慎使用（不瀏覽來源不明網站、不在公共電腦輸入個人資訊等），仍是保護自己的不二法門。（黃鈺翔 2014/05）