弱點資訊／程式更新－Microsoft Word

弱點資訊
Microsoft Word
Word出現Zero-Day攻擊漏洞，攻擊者可透過郵件散佈含有Trojan.Mdropper.H木馬程式的附件，使用者不慎開啟後，即會自動安裝Ginwuiauf後門程式，導致Word程式發生緩衝區溢位而崩潰。若用戶系統為Word 2003，則系統雖不會中止，但遠端攻擊者將能藉此獲取系統控制權，可任意創建、讀寫或刪除檔案，甚至修改註冊表、操縱系統服務等。目前微軟雖已完成修補程式，但要等到6月第2週才會發布，微軟建議用戶暫時先以安全模式啟動Word，將/safe參數附加在啟動檔後，透過禁用某些功能的方式來避免問題。

XOOPS
由於XOOPS的「mainfile.php」script對用戶提交的URI資料缺乏充分的過濾，攻擊者可透過上傳含有多個「../」字元的Web參數，即可繞過路徑限制，以Web管理者權限查看系統文件內容。目前xpoos.org仍未發布修補程式。

Sun Java Runtime Environment
Sun Java Runtime Environment存在拒絕服務攻擊問題，
當傳遞一個Object陣列到原來的java.lang.Object時，記憶體管理將會出現錯誤，可導致整個JVM崩潰，造成拒絕服務攻擊。目前Sun還未發布修補程式。

更新程式
Skype
Skype 發布Skype 2.5.0.79與2.0.0.105版，修正了舊版存在的驗證錯誤問題。漏洞是由於Skype對URI的不正確處理所致，遠端攻擊者可利用漏洞使目標的應用程式下載任意文件。

Sybase Enterprise Application Server
Sybase發布Sybase Enterprise Application Server 5.0/5.2/5.3版的洩漏敏感資訊漏洞，在一些特殊環境下使用密碼欄位的J2EE應用程式用戶端，和Java GUI應用程式會導致密碼洩漏。此漏洞會影響自行開發和配置圖形介面應用程式的客戶。