微軟修補IE重大漏洞

微軟在今年2月定期漏洞修補中，推出12個修補程式，共修補了22個程式漏洞，其中有3個漏洞列為重大（Critical）。微軟亞太區全球技術支援中心專案經理林宏嘉表示，這3個重大的漏洞修補中，包括IE 6、7、8未知的漏洞修補，以及修補圖形引擎可隱藏惡意程式的漏洞，也修補偽造Open Type字型隱藏惡意程式供人下載的潛在風險。

編號MSE-003的重大漏洞主要是補強IE瀏覽器連上惡意網頁的風險，這個漏洞先前並未公開。林宏嘉表示，對於終端用戶而言，因為可以任意存取外部網頁，瀏覽器相關漏洞影響性相對大，從Windows Server 2003之後，伺服器上開啟IE會有其他保護機制，伺服器端IE風險較用戶端小。

編號MSE-006則是Windows 7中Windows shell圖形處理器的漏洞修正，林宏嘉說，從2010年發現該漏洞後，目前還無人成功利用此一漏洞完成攻擊。至於編號MSE-007則是Open Type字型使用CSS驅動程式導致的漏洞，林宏嘉指出，主要是駭客偽造Open Type字型利用社交工程手法供人下載，並利用CSS驅動程式的漏洞隱藏惡意程式。但他說，Open Type字型容量小，這往往是駭客多重攻擊手法的其中之一。

面對無法立即更新微軟定期修補程式的企業，林宏嘉建議，可參考微軟Microsoft Security Advisory（2501696）的修補建議，關閉MHTML協定，將內外網安全性等級提升為高，並封鎖所有ActiveX控制項。文⊙黃彥棻