※ [本文轉錄自 share 看板] 作者: s1470258 (教授的輔助) 看板: share 標題: [資訊] Word出現另一零時差攻擊漏洞　會偷密碼 時間: Wed Dec 13 18:25:22 2006 文/陳曉莉 (編譯) 2006-12-12 這是微軟的Word產品在一週內被證實的第二個零時差攻擊漏洞，因為該漏洞並無任何修補 程式，而且駭客已開始進行攻擊，因此有資安業者將它列為「極重大」風險等級。 微軟在周日（12/10）證實該公司旗下的文字編輯器Word中出現另一零時差攻擊漏洞，並 有駭客針對該漏洞進行攻擊。 微軟安全回應中心成員Scott Deacon表示，根據初步的報告及調查，他們確定該漏洞已被 用來進行攻擊，但是非常有限的目標式攻擊。駭客會先要求使用者開啟一個夾帶在電子郵 件或網站上、含有惡意程式的Word檔案，一旦得逞，駭客就能在使用者系統上執行任意程 式。 Scott Deacon指出，包括Word 2000、2002、2003及Word Viewer 2003都會受到這個最新 漏洞的影響。 資安業者McAfee指出，駭客利用這個新的Word漏洞，植入一個可竊取使用者資料的 "PWS-Agent.g"木馬程式，用來截獲使用者在IE、Firefox等瀏覽器以及POP3電子郵件客戶 端程式中所輸入的密碼。 另一資安業者Secunia把此一最新漏洞列為最高的「極重大」（extremely critical）風 險等級。主要是因為該漏洞並無任何修補程式，而且駭客已開始進行攻擊。 這是微軟的Word產品在一週內被證實的第二個零時差攻擊漏洞，微軟在上周二（12/5）亦 公布了一個被駭客攻陷、但卻沒有修補程式的Word漏洞，駭客只要在一個Word檔案中增加 一串的字元就可能造成記憶體錯誤，而讓駭客可在使用者的系統上執行任意程式。該漏洞 影響Word 2000、2002、2003、Word Viewer 2003及部份Microsoft Works版本。 微軟表示這是兩個不同的漏洞，但卻皆屬零時差攻擊漏洞，而且同樣地都已被駭客攻陷。 周二（12/12）就是微軟的例行性更新日，但微軟先前所發布的修補訊息中並未包含任何 的Word漏洞，不過，微軟並不排除在例行性更新日之外推出重要漏洞的更新程式。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.70.69.252 -- 『你去了，噢，最最心愛的你，我的心願像一場夢消逝無蹤。 　魅力的腰帶也隨你而去。 　我是長生的女神，不能追隨你。 　再吻我一次吧，再長吻一次， 　讓我將你的魂魄吸入唇間，飲下你綿綿的情意。』 　　　　　　　　　　　　　　　──眾愛神為他落淚，繆思女神也哭了。《阿多尼斯》 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 163.14.181.67