微軟在9日的安全更新日共修補8個Windows與Office漏洞,並警告Internet Explorer 6和IE 7新發現的弱點,已被用來發動攻擊。
微軟發出的安全通告981374,是針對一個被私自揭露的弱點。若使用者造訪惡意網站,該漏洞能讓攻擊者控制整台電腦。
微軟表示,若干既有功能可減輕攻擊的效用。例如目前支援的Microsoft Outlook、Microsoft Outlook Express和Windows Mail各版,都在預設的Restricted網站區開啟HTML郵件。
微軟的通告寫道:「Internet Explorer在Windows Vista和後續Windows作業系統的保護模式,有助於限制該弱點的衝擊,成功利用該弱點的攻擊者,只會得到非常有限的系統權利。Windows Server 2003和Windows Server 2008的Internet Explorer本就預設在受限的模式,名為Enhanced Security Configuration。這個模式將網際網路防護層級設在『高』,針對未被加入Internet Explorer信任網站區的網站,可發揮減輕效用。」
通告中也包含替代方案。微軟建議IE 6和IE 7使用者立即升級到IE 8。針對最近接連爆出的IE漏洞,nCircle安全作業主任Andrew Storms表示:「這是三個月內第二次,微軟對新的IE零時差漏洞發出警告。這個新問題無疑將為新一輪瀏覽器大戰的關鍵安全議題加溫。」
在上週四(4日)的安全更新日預覽中,微軟說9日將發佈兩個「重要」等級快報,修補Windows和Office產品共8項弱點。
3月的第一個安全快報,編號MS10-016,是針對Windows Movie Maker的弱點。使用者若開啟惡意的Movie Maker企畫檔,便會受害。微軟的資深安全通訊經理Jerry Bryant在微軟安全反應中心的部落格寫道:「Windows XP和Windows Vista搭配的版本(2.1和6.0)都受到影響,Version 2.6版也有問題,並可從網路上免費下載安裝。在任何支援平台,包括Windows 7上安裝2.6版的顧客,我們都將提供更新。」
這項弱點的影響範圍也擴及另一項免費下載的軟體,Microsoft Producer 2003。Bryant寫道:「目前我們沒有提供Producer 2003的更新。在我們持續調查Producer 2003的同時,我們建議顧客反安裝該軟體,或利用現有的Microsoft Fix It,分離該軟體與企畫檔類型,多加一層防護。」
第二個快報,編號MS10-017,影響所有現行支援的Microsoft Office Excel各版,及Office 2004和Office 2008 for Mac、Open XML File Format Converter for Mac、目前支援的各版Excel viewer和SharePoint 2007。使用者必須開啟特製的惡意檔案,才能促成攻擊。
同時,微軟的惡意軟體移除工具(Malicious Software Removal Tool)也進行更新,納入竊取熱門線上遊戲登入資料的木馬程式Win32/Helpud。微軟也重新發佈MS09-033快報,受影響的軟體除原本的Microsoft Virtual PC和Microsoft Virtual Server之外,另加入Microsoft Virtual Server 2005。
微軟仍持續監控與安全通報981169有關的威脅。這個VBScript漏洞,影響微軟在3月1日公佈的舊版Windows系統。雖然該漏洞的概念驗證攻擊碼已在外流通,微軟聲稱尚未收到任何攻擊通報。使用Windows 2000、XP和Server 2003等系統的顧客,應執行替代方案。Windows 7、Windows Server 2008、Windows Server 2008 R2和Windows Vista的使用者,不會受到影響。
Views: 1