修補程式／更新程式－Microsoft Exchange Server

Microsoft Exchange Server
微軟這個月所發布的MS07-026安全更新公告，主要是用來修補日前所發現的四個Exchange伺服器漏洞，這些漏洞將導致駭客可以從遠端主機連線到受害電腦執行任意程式碼，或者發動所謂的拒絕服務攻擊，受到此次漏洞事件影響的版本包括Exchange Server 2000、Exchange Server 2003 Server SP1、Exchange Server 2003 SP2，以及Exchange Server 2007。

公告當中除了列舉可能造成的危害，也詳細說明了這四個漏洞的起因。其中第一項漏洞是由於Outlook Web Access（OWA）網頁介面未能正確處理，並檢查某些UTF字集所引起的，當使用者透過OWA讀取某些含有惡意程式碼的郵件附檔時，便有可能讓駭客有機可乘發動所謂的跨網站腳本攻擊，將瀏覽器畫面轉接到假造的釣魚網站，以便盜取各項重要的個人機密資料。

第二項漏洞是因為EXCDO（Exchange Collaboration Data Objects）物件解析iCal附件時所產生的漏洞，結果可能導致Exchange 停止回應，或者需要重新啟動Microsoft Exchange Information Store Service，造成拒絕服務攻擊。

第三項漏洞是因為Exchange伺服器未能適當解譯以base64編碼的惡意電子郵件。一旦駭客傳送利用該漏洞製作成的惡意電子郵件到Exchange伺服器時，將會因為MIME（Multipurpose Internet Mail Extensions）的解碼錯誤，使駭客在受害主機上執行任意程式碼。

最後一項漏洞則是起因於IMAP服務未能適當處理無效的IMAP連線要求，若駭客傳送惡意的IMAP指令到Exchange伺服器執行，將可能導致Exchange伺服器停止回應、需要重新啟動IIS Admin Service，或者造成拒絕服務攻擊。

WordPress
Blog程式 WordPress 再度傳出漏洞，起因是wp-Table、wordTube兩支外掛程式發現到含有驗證程序上的漏洞，使駭客可以利用這些漏洞從遠端主機連線受害電腦上執行任意程式碼。

目前已有新版的wp-Table、wordTube程式提供下載，用以修補這兩項漏洞，1.43版之前的使用者應盡快予以更新，以避免駭客的連線攻擊。