Google工程師Tavis Ormandy上周揭露一影響Windows XP與Windows Server 2003的安全漏洞,微軟並為此發布安全公告,且表示尚未接獲實際攻擊報告。不過本周二(6/15)微軟已更新該安全公告,並證實已發現實際攻擊行動。
根據微軟說明,當使用者造訪特製的網站或在郵件中點選惡意連結,駭客就可能藉由該漏洞執行遠端程式,相關漏洞的概念性驗證程式已現身,同時微軟亦已得知少數透過該漏洞所進行的目標式攻擊,不過這些攻擊只對Windows XP有效,而未波及Windows Server 2003。
該漏洞是存在於視窗作業系統的協助及支援中心(Windows Help and Support Center,HSC)功能。微軟採用HCP通訊協定來開啟視窗功能的說明文件,但使用HCP時,HSC卻無法妥善認證URL,因而產生了漏洞。微軟表示該漏洞也影響第三方應用程式,例如具備處理HCP功能的各種主要瀏覽器。
由於Ormandy在公布該漏洞的同時也發表了概念性驗證程式,使得資安業者將炮火對準Ormandy。Sophos技術顧問Graham Cluley將Ormandy的行為稱之為不負責任的揭露,指出Ormandy是在6月5日向微軟提報相關漏洞,並在6月10日就公布概念性驗證程式。
當時Ormandy還義正辭嚴地表示他公布概念性驗證程式是為了喚起外界的注意,因為該問題很嚴重。Cluley認為,要微軟短短五天內就修補該漏洞是不合理的。
Sophos已經發現有駭客利用該漏洞,並已有合法網站及使用者受害。Cluley抨擊Ormandy發表攻擊程式是非常不負責任的行為,且質疑他把自己的虛榮擺在別人的安全之上。
關於該漏洞,微軟正在開發修補程式,同時也提供一關閉協助及支援中心功能的暫時補救方法,使用者可透過微軟供應的Fix it工具進行自動設定。 (編譯/陳曉莉)
熱門新聞
2025-02-26
2025-02-25
2025-02-26
2025-02-24
2025-02-24
