微軟、甲骨文及Adobe修補87個安全漏洞

微軟、甲骨文，及Adobe湊巧都在本周二（4/13）進行例行性安全更新，這三家公司總計修補87個產品安全漏洞。

周二是微軟每月的例行性更新日，本月微軟發表了11個安全公告，修補25個安全漏洞，涉及的產品包括Windows、Office及Exchange等。

在11個安全公告中，有5個被列為可能引發遠端程式攻擊的重大（Critical）更新，包括MS10-019、MS10-020、MS10-025、MS10-026及MS10-027。分別修補視窗Authenticode Verification、SMB客戶端程式、Windows 2000 Server上的Windows Media Services、Microsoft MPEG Layer-3音訊處理，以及潛藏於Windows Media Player的各種安全漏洞。

微軟社群經理Jerry Bryant建議使用者應該優先修補MS10-019、MS10-026及MS10-027。Bryant說明，MS10-019所修補的兩個漏洞影響所有版本的視窗作業系統，相關漏洞允許駭客不用廢止簽章就能修改可執行的內容；此外，使用者只要造訪一個含有特製AVI檔，並在下載網頁之際就開始進行串流的惡意網站時，就會受到MS10-026提及的漏洞所影響；至於MS10-027企圖修補的漏洞在使用者只是簡單造訪惡意網頁時就能被觸發。

甲骨文適逢每季修補日的周二修補47個安全漏洞，所波及的產品包括Oracle Database、 Fusion Middleware、Collaboration Suite、E-Business Suite、Oracle Transportation Management、 Agile - Engineering Data Management、PeopleSoft/JDE、Communications Industry Suite、Life Sciences Industry Suite、Retail Industry Suite，以及首次以甲骨文名義修補的昇陽產品─Oracle Sun Product Suite。

Oracle Sun Product Suite指的是Solaris套裝產品，此次修補了16個安全漏洞，其中有8個可可能遭遠端攻擊。

Adobe亦於周二的每季更新日釋出Adobe Reader及Acrobat 9.3.2與8.2.2以修補15個安全漏洞，並宣布已在上述新版本中嵌入了新的更新機制，允許使用者設定自動更新，一有新版本出爐就能即時執行更新，以避免使用者操作有漏洞的舊版產品而不自知。

Adobe產品原本的更新機制是會在有新版本時通知使用者，但Adobe發現針對該公司產品的主要攻擊都是鎖定使用者尚未部署更新的漏洞，因此建議多數的使用者可採用自動更新模式。Adobe表示，設為自動更新模式後，系統會在較不忙碌的時候自動下載並執行更新，以減少對使用者的干擾。

此外，Adobe產品安全總監Brad Arkin也說明了Adobe下載中心與更新版本不同步的原因，指出Adobe必須完成逾70種語言及平台的安裝版測試才會將特定版本放置於下載中心，因為需要大量的工時，使得有時下載中心的版本並非最新版。

為了舒緩相關需求，Adobe決定根據使用者最常下載的語言，在最新更新版出爐後，下載中心可同步出現支援英文、德文、西班牙文、日文及法文的最新視窗版，以及支援英文的Mac版。（編譯/陳曉莉）