微軟又發現Windows安全漏洞

| | | | | | 留下回應

    

微軟公司8日警告，已知兩種新的安全問題，可能導致部分Windows用戶有遭駭客攻擊之虞。微軟並著手調查第三種可能的安全弱點。

其中一項安全問題與舊版Internet Explorer瀏覽器處理變形Windows Meta File (WMF)影像檔的方式有關，受影響的是安裝Windows Millennium Edition與Windows 2000作業系統的電腦。

根據微軟新發布的安全通告，此安全瑕疵只出現在以IE 5.01搭配Windows 2000第四版更新組件（SP4）的系統，以及IE 5.5搭配Windows ME SP2的系統。微軟說，使用者只要開啟藏身在某網站、電子郵件或影像瀏覽程式裡的惡意圖檔，就可能遭到攻擊。

微軟安全通告說：「駭客一旦成功利用這項弱點，就可能完全掌控受影響的系統。」

微軟說，這個WMF弱點乍看下，似乎與先前困擾Windows系統的安全問題類似，但其實並不一樣。上個月，微軟十萬火急地修補一個與WMF處理圖檔有關的安全漏洞，以阻止駭客利用此漏洞在不知情受害者的電腦上安裝間諜程式。為避免新發現的WMF問題，微軟建議使用者升級到採用IE6和SP1，並預告可能針對此問題發布安全更新程式。

在另一份安全通告中，微軟提醒使用者注意Windows XP和Windows Server 2003可能過度容許存取的問題。該公司說，此問題只發生在未安裝最新版更新組件的電腦上。

微軟說，這個存取控制(access control)問題可能被原本權限低的使用者利用，用來執行通常只准更高權限層次使用者執行的程式與指令。微軟建議在Windows XP電腦上安裝 SP2，或在Windows Server 2003電腦上安裝SP1，以降低這種風險。不然，使用者也可自行手動調整四種受影響Windows元件的存取控制。

除發布安全通告之外，微軟發言人周二也表示，正在調查HTML Help Workshop中可能潛在的安全弱點。HTML Help Workshop屬於HTML Help Software Development Kit 1.4版的一部分。安全監督公司Secunia曾警告，鑽這個安全漏洞的駭客程式已在網路上散布，一旦攻擊得逞，可能讓駭客接管有漏洞未修補的電腦。微軟則表示，此安全威脅影響的層面有限，因為這種軟體只有軟體開發人員才會使用，而且並未收入Windows內。

微軟發言人說「微軟初步的調查顯示，未在系統上安裝HTML Help SDK的用戶，不會受此影響。」

微軟下一次發布「周二修補程式」是在2月14日，部分細節可望在周四(9日)對外揭露。（唐慧文）