T.S.
微軟於週一時證實,就在預計公佈其 7 月份軟體修補程式的前 1 天,該公司遭受第 3 次零時差攻擊。
除了更加積極修補零時差攻擊弱點,微軟公司 (Microsoft) 的動作還必須再加快一點,以趕上惡意駭客的腳步。微軟向來習於每月固定相關軟體修補程式,駭客似乎也慣於利用此弱點進行攻擊,這回卻是在微軟即將公佈 7 月份軟體修補程式並針對前 2 個瀏覽器弱點的前一天,通報遭受第 3 次瀏覽器惡意程式攻擊。
微軟於本週一公佈稍早前披露之 Office 網路元件 ActiveX 控制器(OWC10 與 OWC11)弱點的安全性更新。
微軟指出,Spreadsheet ActiveX 控制器的安全漏洞,將會讓駭客可以取得和合法用戶相同的使用權限,且該公司亦獲報已有駭客嘗試攻擊該漏洞。
微軟於上週方才揭露另一個 Microsoft Video ActiveX 控制器漏洞。
微軟資安工程師 Fermin J. Serna 在該公司資安研究防護部落格中指出,瀏覽器的安全漏洞仍然存在,但除非使用者瀏覽到惡意網站才會出現問題。
目前,微軟所提供的解決方法,是讓使用者可透過修正程式以暫時中止該項功能。而照現況來看,外界估計,微軟在公佈 Microsoft Video ActiveX Control 修補程式時,應來不及同時修補 Spreadsheet ActiveX 控制器漏洞。
這次的兩大安全漏洞均非預設安裝項目,但包含 OWC10 及 OWC11 等 2 個網路試算表控制元件均含有該漏洞,受到影響的產品將涵蓋 Office XP 、 Office 2003 、 Office 2007 、 BizTalk 、 ISA Server 或是 Office Accounting 與 Business Contact Manager,若曾手動下載安裝這些元件的使用者亦可能受到影響。
此外,Windows Server 2003 和 Windows Server 2008 也可能遭受攻擊,但由於這兩類產品的安全限制較嚴格,名為 Enhanced Security Configuration 之功能可防止在 ActiveX 控制器在瀏覽網路時下載或執行惡意程式,該漏洞所帶來的影響也可望減輕。
至於 IE7 或 IE8 的使用者,在瀏覽到惡意網站而遭駭客嘗試攻擊此漏洞並要求安裝此一在有安全漏洞之元件時,應該會出現要求提供授權之提示,使用者只要拒絕安裝即可。