Word第三個漏洞與攻擊碼同時曝光

| | | | | | 留下回應

    

電腦安全業者指出，微軟的Word軟體被發現第三項重大漏洞，一名研究員甚至已公佈可執行的攻擊碼，但微軟至今仍在查證中。

Secunia和McAfee均在14日表示，Word應用軟體有一緩衝區溢流漏洞，可導致電腦當機，最終還可讓外部入侵者強制執行程式。但微軟表示目前仍在調查中，無法證實該弱點的存在。

Secunia指出，這是在不到兩週內，第三個被發現的Word安全漏洞。另外兩個零時差弱點也與記憶體相關。微軟曾表示，這些未修補的問題迄今只被用來發動少數的攻擊。Secunia技術長Thomas Kristensen說：「直到現在，只有受害者、攻擊者和微軟知道這些漏洞如何被利用。」

隨著第三個潛在弱點曝光，情況可能會更嚴重。一名自稱「Disco Johny」的軟體分析師，已經公佈這項新漏洞的「概念驗證」（proof-of-concept）碼。他在電郵回函中表示：「我釋出的檔案會讓微軟Word當機。這個檔案可被有足夠能力的人，轉為可用的攻擊碼。然後導致發送或製作該檔案的人，在現有使用者上線時，控制受害人的電腦。」

也就是說，這個概念驗證碼可作為駭客製作惡意攻擊的樣板。McAfee安全研究與傳播經理Dave Marcus說，這個程式利用第三項漏洞，但實際的作用方式還不清楚。

Disco Jonny表示，他無法明確抓住該程式來源的部分原因，是他缺少前兩項Word弱點的詳細資訊。微軟曾針對其中一項發出安全公告，另一項也有相關的部落格文章，但其中都沒有透露細節。

Disco Johhy說：「從與他人的對話中，我非常肯定這個漏洞與前兩個Word問題無關。這是微軟Word第三個未知的弱點。沒有另外兩個問題對照，我無法百分之百地確定。」（陳智文/譯）