2008-12-11 iThome 微軟安全漏洞補了又來　WordPad轉檔與IE都有問題 文/吳曉波 (國際新聞編譯) 根據微軟的安全通報，最新的微軟系統漏洞為WordPad Text Converter for Word 97轉檔程式。除此之外，微軟也已著手調查攻擊程式是如何利用IE 7瀏覽 器的漏洞。 微軟才剛釋出今年最後一次安全更新的修補檔案，但WordPad轉檔程式與IE的零 時差攻擊又緊接而來。 根據微軟的安全通報，最新的微軟系統漏洞為WordPad Text Converter for Word 97轉檔程式。除此之外，微軟也已著手調查攻擊程式是如何利用IE 7瀏覽 器的漏洞。新的IE 7安全漏洞在先前即已公告，但未在此次修補範圍內，日前已 陸續傳出零時差攻擊。 此次WordPad轉檔程式所影響的系統，包括Windows Service Pack 4、Windows XP SP2、Windows Server 2003 SP1，以及Windows Server 2003 SP2。至於XP的 SP3和Vista作業系統則沒有影響。 微軟表示，目前僅見零星的攻擊，駭客如果攻擊得逞，可能會取得個人電腦的某 些權限，成為本機端使用者，並自遠端執行程式。微軟目前正在研究這個問題。 一般說來，微軟公佈修補檔案的時間為每個月的第二個星期二，因此若照既定的 時間表，使用者承擔受攻擊的風險，至少要一直到明年1月13日。 微軟昨日才一次推出8個更新修補檔案，總計解決28個系統漏洞，包括在最新作 業系統Vista與Windows Server 2008內一個搜尋元件的致命錯誤。當然，這些修 補檔案仍未解決新發現的問題。 微軟表示，WordPad轉檔程式的安全漏洞不會因為簡單的打開電子郵件就遭到攻 擊，但若開啟電子郵件所夾帶的惡意檔案，就有被攻擊的可能。 至於近來陸續傳出遭受零時差攻擊的IE 7，儘管之前微軟即已公告，但卻仍未在 這次大規模的安全更新中獲得解決。追踨攻擊發展趨勢的SANS 網路風暴中心（ Internet Storm Center）指出，目前這個漏洞尚未被大規模用來進行攻擊，但 情況也許很快會改變，因為如何利用這個漏洞進行攻擊的方式，都已清楚地公告 在網路上。 SANS也表示，目前使用者除了換一種瀏覽器使用，例如Mozilla的Firefox或 Opera，也不清楚該如何因應這些威脅。但很顯然的，這些類型的漏洞只需誘騙 使用者用IE 7造訪惡意網站，就能讓他們的詭計得逞。 http://www.ithome.com.tw/itadm/article.php?c=52542 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.116.219.222