微軟修補34個安全漏洞

微軟於周二（6/8）的例行性更新日釋出10個安全通報，修補34個漏洞，其中包括一個在Pwn2Own駭客競賽中被用來贏得1萬元獎金的IE漏洞。

在10個安全通報中有3個被列為重大（critical）更新，分別是MS10-033、MS10-034及MS10-035，其中，MS10-033修補的是兩個位於微軟視窗作業系統DirectShow中的漏洞，當使用者開啟惡意的媒體檔案或是從網路上或應用程式中取得特殊的串流內容時，駭客就有機會取得使用者權限，並執行遠端程式攻擊。

MS10-034則是屬於ActiveX Kill Bit的累積更新，一旦使用者檢視到惡意網頁就可能遭駭客掌控系統，微軟除了提供Kill Bit予IE8開發人員工具控制選項及資料分析ActiveX控制選項外，也有針對第三方所提供的四種控制選項的Kill Bit。Kill Bit是IE中的安全功能，可防止IE HTML轉譯引擎載入ActiveX控制項，設定Kill Bit後可確保即使在系統中採用受到影響的元件，仍能防止該元件的執行以保障使用安全。

MS10-035修補的是IE的6個安全漏洞，其中一個就是在今年4月的Pwn2Own駭客競賽中被安全研究人員Peter Vreugdenhil用來奪得1萬美元獎金的漏洞，這是一個跨網域資訊揭露漏洞，駭客可藉由該漏洞繞過IE網域限制機制，在使用者造訪惡意網頁時存取使用者電腦中的資訊。

其他7個皆被列為重要（important）更新。MS10-036修補的是微軟Office中的COM驗證漏洞，可導致遠端程式攻擊；MS10-037修補的是視窗中OpenType Compact Font Format驅動程式漏洞，可用來擴張使用者權限；MS10-038修補的是14個Office Excel漏洞，可能引發遠端程式攻擊；MS10-039修補SharePoint的3個安全漏洞，屬於權限擴張漏洞；MS10-040修補IIS中的一個漏洞，當使用者接收到一個特製的HTTP請求時可能會讓駭客掌控使用者電腦進而執行遠端程式攻擊；MS10-041修補的是.NET架構漏洞，可能允許駭客篡改已簽署的XML內容。

微軟建議客戶優先修補被列為重大更新的三個安全通報。（編譯/陳曉莉）