微软发表IE浏览器 F1漏洞安全公告

安全厂商上周揭露了微软IE的安全漏洞，并指出该漏洞影响Windows XP操作系统上的IE 6、IE 7及IE 8，可能导致远端程序攻击，微软则于本周一（3/1）发表该漏洞的安全公告。

微软说明，这是一个存在于IE上VBScript与Windows Help文件互动时的漏洞，黑客可以打造一个恶意网站并显示一个对话窗口，要求使用者按下F1，一旦使用者按下该键，黑客就能在使用者系统上执行任意程序或取得使用者系统权限。

该漏洞影响Windows XP、Windows 2000及Windows 2003等操作系统上任何版本的IE，其中Windows 2003上的IE因启用强化安全设定因此可降低该漏洞所带来的影响。

微软强调，迄今尚未接获针对该漏洞的攻击报告，由于还未订定修补时程，微软提供了各种权宜措施。包括建议使用者造访网站时，不要接受网站以任何方式要求使用者按下F1，因为如果不按F1，黑客就无从攻击该漏洞；其次是更改winhlp32.exe上的存取限制名单（ACL）以封锁对 Windows Help系统的存取；或是将网络或区域网络设为高度安全等级，以封锁相关区域的ActiveX控制功能与Active Scripting。