微軟於周二(7/13)釋出4個安全通報,修補5個漏洞,其中最受矚目的就是修補了已出現大規模攻擊的視窗協助及支援中心(Windows Help and Support Center,HSC)漏洞。
微軟本月的4項安全通報分別是修補HSC的MS10-042、修補Canonical顯示驅動程式漏洞的MS10-043、修補Office Access ActiveX控制器漏洞的MS10-044及修補Outlook漏洞的MS10-045。上述只有MS10-045屬於重要(important)等級,其他都被列為最嚴重的重大(critical)等級,可能導致遠端程式攻擊。微軟建議使用者應優先部署MS10-042及MS10-045。
HSC漏洞是在今年6月由Google工程師Tavis Ormandy所揭露,該漏洞是存在於Windows的協助及支援中心(Windows Help and Support Center,HSC)功能。微軟採用HCP通訊協定來開啟Windows功能的說明文件,但使用HCP時,HSC卻無法妥善認證URL,因而產生了漏洞。當使用者造訪特定網站或在郵件中點選惡意連結時,駭客就能藉由該漏洞執行遠端程式。
微軟在6月中發現針對該漏洞的大規模攻擊行動,並指出已有超過1萬台個人電腦受害。同時也有資安業者指責Ormandy的行為是不負責任的揭露,在向微軟提報的5天後就公開漏洞細節,而讓使用者面臨安全風險。
至於MS10-043修補的Canonical顯示器驅動程式漏洞則影響了啟用Windows Aero功能的64位元版本的Windows 7與Windows Server 2008 R2,微軟評估針對該漏洞最有可能出現的是阻斷式服務攻擊。MS10-044修補Office Access ActiveX控制器漏洞,當使用者透過Access開啟一個惡意的Office檔案或檢視一個含有Access ActiveX控制器實例的網頁時,就可能造成遠端程式攻擊。
MS10-045修補多個版本的Outlook漏洞,在使用者開啟郵件中的附加檔案時可能導致遠端程式攻擊,該漏洞影響Outlook 2002、Outlook 2003及Outlook 2007。
由於微軟對Windows XP SP2的支援期限只到本周二,因此微軟安全回應中心社群經理Jerry Bryant建議該版本的使用者應立即升級到XP SP3或Windows 7,此外,微軟對所有Windows 2000的產品的延伸支援也已到期,代表自此次安全通報後將不會再提供相關產品的支援。(編譯/陳曉莉)
熱門新聞
2025-02-26
2025-02-25
2025-02-24
2025-02-26
2025-02-24
