微軟三度更新MS06-042

微軟在今年9月12日的定期更新日中，第三度更新同一個修補IE漏洞的安全更新。

MS06-042是微軟在今年8月8日定期更新日中針對8個IE漏洞所推出的安全更新程式，但之後旋即有使用者反映該修補程式可能導致IE當掉，因此微軟緊急在8月24重新推出MS06-042更新。不過，資安業者eEye卻公布微軟所發表的MS06-042不僅會讓IE當掉，更含有嚴重漏洞，這讓微軟在本月12月的定期更新中，第三度更新MS06-042安全修補程式。

現在最新的MS06-042安全更新程式修補的就不僅是原先的8個漏洞，還包含之前MS06-042更新程式中所含有的兩個漏洞，總計修補10個IE漏洞。

新增的兩個漏洞中有一個會影響IE 6.0 SP1版本，該漏洞可能導致駭客的遠端攻擊，並全面接管使用者電腦，第二個漏洞與第一個類似，只是影響版本不同，包括Windows 2000中的IE 5.0、IE 6.0 SP1，以及Windows Server 2003原始版本中的IE。

微軟IE程式經理Tony Chor在部落格中說明，最早的MS06-042修補程式讓IE 6.0 SP1的使用者身陷漏洞之中，因此微軟繼之發表第二個MS06-042更新程式，之後安全研究人員告知在其他的IE版本中也藏有類似漏洞，這次的更新程式就是為了修補其他IE版本中的該漏洞。

Tony Chor指出，微軟使用者可透過所有的正常管道進行更新，諸如Windows Update、自動更新及自下載中心下載等，微軟建議所有受影響的使用者立即進行更新，不過，其他使用Windows XP SP2、Server 2003 SP1或任一IE 7.0測試版本，IE 7.0 RC版，或是Windows Vista測試版用戶則不受這些漏洞影響。

Tony Chor說，此次讓微軟吸收了一些經驗，這些經驗將用來改善微軟更新的程式及增加透明度，以確保該公司未來的更新品質都能達到預期的水準。

微軟在本周二（9/12）所進行的更新主要提供了三項安全通報，分別是被列為重要（Important）等級的MS06-052，屬中度（Moderate）等級的MS06-053，以及重大（Critical）等級的MS06-054。

其中，MS06-054修補的是Microsoft Publisher，問題出在於應用程式分析檔案時產生錯誤，駭客可以趁著Publisher分析一個含有惡意字串的檔案時攻擊該漏洞，駭客可藉此接管使用者的電腦。（編譯/陳曉莉）