更新程式／弱點資訊－微軟9月份安全更新

微軟9月份安全更新
微軟依例發布9月份安全通報與更新程式，本次通報共包含3項更新，其中1項為嚴重等級。第1項漏洞為Windows XP SP1/SP2的實際通用多播（Pragmatic General Multicast，PGM）可能允許遠端執行程式碼；第2項為Windows 2000 SP4/XP SP1/Server 2003 SP1/XP Pro與2003 x64版的索引服務（Indexing Service）含有可能導致「跨網站Scripting攻擊（XSS）」的漏洞；第3項漏洞則是Microsoft Publisher因未適當處理.pub檔案，以致可能發生堆疊溢位，進而允許遠端執行程式碼。

Symantec AntiVirus
Symantec發布更新程式，修正AntiVirus企業版可能導致拒絕服務攻擊的漏洞。漏洞起因於AntiVirus允許系統在發現病毒或觸發竄改防護（Tamper Protection）功能時，以用戶自定義的警告類型發布通知訊息。但警告通知程式沒有正確的驗證用戶的輸入，導致本地端攻擊者可藉由特殊格式串（format string）來替換竄改防護和病毒警示通知（Virus Alert Notification）訊息，進而非法提高權限並執行任意程式碼。

Adobe Flash Player
Adobe發佈Flash Player的APSB06-11安全通報與9.0.16.0版修補程式，修正8.0.24.0以前版本可讓遠端攻擊者取得系統控制權的3項漏洞。由於Windows XP也內建了Flash Player，因此Windows用戶也需更新系統。

Cisco IOS
Cisco發布IOS 12.1版的更新程式，修補VLAN中繼協定（VTP）含有的3項可能導致執行任意程式或拒絕服務攻擊的漏洞。

Microsoft IE
網路安全組織通報IE含有導致拒絕服務或執行任意指令的漏洞，當IE在處理DirectAnimation.PathControl COM物件（daxctle.ocx）的Spline時，如果將第一個參數設置?0xffffffff就會觸發堆疊溢位漏洞，進而導致拒絕服務或執行任意指令。已知此漏洞會影響在Windows 2000/XP/2003下執行的IE 6.0 SP1，微軟尚未發布修補程式或漏洞詳情。