微軟：Windows繪圖成像引擎有新漏洞

微軟發佈警告表示，目前多種Windows作業系統中的繪圖成像引擎（Graphics Rendering Engine）發現一個漏洞，讓駭客能夠從遠端執行程式。另外，Office亦有一個漏洞，若文件中藏有特定RTF資料，將會啟動木馬並下載惡意程式。

微軟在安全公告中表示，Windows 7及Windows Server 2008 R2不會受到影響，XP、Vista及Windows Server 2003/2008等作業系統則會受影響。微軟指出，駭客可能引誘使用戶開啟特定的網頁、Word文件或PowerPoint文件來進行攻擊，所幸目前要利用該漏洞進行攻擊的前提條件太多，因此還未發現有人利用此漏洞進行攻擊。微軟認為，除非駭客將該程式包裝入Word或PowerPoint文件中，以OLE物件方式呈現，否則不易進行大量攻擊，而新版本Office的保護模式可以避免啟動網路來的附加內容。

目前微軟還沒有釋出修補程式，也還沒透漏何時能夠釋出，目前微軟定期在每個月第二個週二釋出更新，但若情況嚴重也可能提前。目前唯一避免被攻擊的解決方案是在指令模式視窗中，修改存取控制清單(Access Control List, ACL)來限制shimgvw.dll的權限，但這個方式會影響系統的繪圖效能。

微軟還針對Office的另一個漏洞提出警告，因為已經發現有駭客開始進行攻擊。該漏洞由特定的RTF格式資料啟動，能讓遠端駭客執行特定程式，影響Windows版Office XP SP3、2003 SP3、2007 SP2、2010等，Mac版Office 2004、2008、2011及Open XML File Format Converte也有相同漏洞。微軟去年十一月就釋出修補程式，因此呼籲使用者儘快更新以免遭受攻擊。

依照微軟的說法，該Office漏洞僅存在於Word，但Outlook 2007/2010的預覽功能也使用Word呈現相關內容，因此當信件中含有攻擊用的RTF內容，在預覽信件時就會啟動Word功能而導致攻擊。（編譯/沈經）