弱點資訊／病毒資訊－Apple QuickTime

Microsoft Word
雖然微軟在每個月都會推出例行性的安全性更新，但往往總是在公告發布的同時才發現漏網之魚，造成所謂的零時差漏洞，日前Word就被發現存在一項漏洞，只要在Word文件裡加入一行特定字串，就可以讓駭客在使用者電腦執行任意的程式。

受到影響的版本包括PC平臺上的Word 2000、2002、2003，MAC平臺上的Word 2004，以及免費的Word Viewer 2003瀏覽器。據了解，具有這類風險的Word文件主要是以電子郵件為主要的散布路徑，這項漏洞並未及時排進12月份安全性更新，但微軟表示修補程式已經在製作當中，可以在下個月透過Windows Update安裝到使用者的電腦。

Apple QuickTime
MySpace網站日前出現夾帶有一段不明JavaScript程式碼的QuickTime影片，使用者在自己的電腦上播放之後，就會立即被植入惡意連結，當下次連接到MySpace網站時，就會在不自覺的情形之下被引導到偽造的MySpace首頁，以釣魚網站的手法騙取登入帳號和密碼。

Internet Explorer、Firefox兩大瀏覽器皆在這個漏洞的波及範圍，Apple目前沒有就這項問題提供修補程式，但可以透過清除瀏覽器暫存檔的手動方式解除危機。

Stration病毒與Vishing攻擊
根據Fortinet在11月份的病毒統計資料，我們可以知道Stration病毒以及它的變體在最近有愈演愈烈的趨勢，Fortinet光是在上個月就一口氣找到了近70個，它會在使用者電腦植入散發木馬程式，然後透過感染的電腦大量轉發電子郵件。

除此之外，有鑑於使用者已經對釣魚網站提高防備，因此出現了一種新型態的攻擊手法Vishing。它是一種結合電子郵件與電話語音的混合攻擊，使用者若是收到來路不明的電子郵件，當照著信件當中的指示撥打裡頭所提供的電話號碼，此時會被轉接到語音信箱，並要求使用者提供個人資料，以達到和釣魚網站一樣的效果。