前陣子媒體流傳一種說法,「專家」依據PTT爆出大串中勒索病毒的求救文,爬文後歸納理出心得:不要用IE(傳說中的「這瀏覽器」)、不要上中國網站!

真相未明前,靠著歸納線索推測嫌犯無可厚非,但在欠缺科學方法驗證前驟下結論,很容易冤枉無辜者。單依統計做結論,可信度更是堪慮,例如:柯南是死神無疑、醫院是最危險的地方,不然為什麼那麼多人死在醫院…

一時之間,IE吞下所有罵名,成為大家口中該死的老賊、資安界的豬隊友。終於,在幾天後有資安專家揭開本次風波的真相

兇手不是IE,而是沒更新的舊版Flash;而散播者不是中國網站,而是台灣雅虎網頁(tw.yahoo.com)!

依據網路攻防戰的解析

這波惡意攻擊利用入口網站廣告散播有毒Flash,利用Flash 21.0.0.213之前版本的安全漏洞執行惡意程式,加上使用者的Win7沒啟用UAC(所以,多想兩分鐘,你可以不要關掉UAC)未能擋下攻擊,轟!推測有毒廣告是在五月底或六月初上架,使用舊版Flash的電腦光瀏覽網頁就會中獎,於是在六月初形成一波熱潮(6/3左右)。6/9雅虎接獲通知將廣告下架,問題網域也被下線,中毒案例迅速減少。(Windows 8的Flash已交由Windows Update自動更新,只要定期更新,也能降低Flash漏洞受攻擊的風險。)

由此可知,問題關鍵在沒更新的Flash,舊版Flash有漏洞,就算用Chrome、Firefox也可能中獎,IE非絕對關鍵。而病毒會觸發UAC警告,若使用者沒關掉UAC且意識到問題拒絕執行可疑動作,也有機會躲過一刧。

2016-06-19 補充-有朋友反應,Chrome/Firefox有所謂的Flash Sandbox,而IE也有Protected Mode,Flash Player會善用瀏覽器這些安全特性降低風險,至於在本案例中這些措施是否能防堵攻擊,我尚未找到明確資料。另外,Chome有個功能挺好,會封鎖不安全的舊版Flash Player,必須承認就這點讓Chrome更安全。

可惜的是,真相大白之後,「專家」跟媒體並沒有再次跳出來提醒大家,上回說不要用IE的講法不夠精確,隨時更新Flash跟不要關閉UAC才能保安康… 普羅大眾腦海留下的只有「IE很爛,超級不安全」「不要用IE」,沒更新的Flash還是沒更新,等待下回再與惡意Flash相會,繼續吞下各式各樣的病毒木馬,爆出絢爛火花。

如果讀者有幸看到這篇文章,請:

最後,不少當初對IE補刀的朋友好像該還IE一個公道,說聲:「對不起,IE,我錯怪你了」~

不過,反正都被罵這麼多年了(寫網頁的應該三不五時都碎唸過,我也不例外),也不差這一次了… XD


IE表示:何汝大當時的心情我能懂!


Comments

# by 豬寶寶

FIREFOX也會阻擋舊版的FLASH執行 除非你去CONFIG裡面關掉

# by Wood

那台灣雅虎是不是應該負起責任?

# by KK

CHROM瀏覽器預設不支援FLASH,所以這次的原因還是IE瀏覽器的問題,並沒有錯殺。

Post a comment


59 + 25 =