專家：Windows最新修補程式仍有破綻
CNET新聞專區：Matt Hines　　25/01/2005




防毒專業公司GeCad Net警告，已發現微軟最新Windows修補程式還是有問題。

這家總部在羅馬尼亞首都布加勒斯特的資安服務公司說，微軟元月上旬雖發布MS05-001安全布告，卻未能完成解除Windows程式中與HTML Help ActiveX控制有關的安全問題。微軟已發布修補程式，附帶額外的安全更新，設法解決駭客把間諜程式這類惡意程式植入受害者電腦、再加以執行的問題。

已在2003年把防毒軟體部門售予微軟的GeCad公司指出，微軟的修補程式無法根除至少一種所謂的「攻擊媒介」(attack vector)，或稱弱點(weakness)，可能導致HTML Help ActiveX控制弱點遭到駭客利用。

微軟發言人24日表示，針對GeCad通報的安全漏洞，微軟已經著手修補。他並強調，元月發布的修補程式已解決原先通報的問題。他說：「微軟已發布更新程式，解決Windows中HTML輔助說明控制的一個弱點，而這項更新的確能防範已公諸於世的弱點。

再者，他解釋，微軟不同意所謂新的修補程式忽略潛在性威脅的說法。他說，GeCad所指的問題，只是更新程式裡尚未解決的另一個HTML說明控制瑕疵。

「微軟已得知，除了已經解決的弱點之外，還有另一個已公開範本程式的不同的弱點。此弱點可能遭人利用，造成HTML說明檔控制被用來在使用者的電腦上執行程式。」

微軟未說明會不會在2月份公告欄公布之前，先發布修補程式解決此問題。

GeCad表示，基於「安全因素」，此刻不會揭露潛在攻擊的技術細節。微軟曾批評安全研究員在微軟還來不及發布修補程式之前，就逕自揭露與安全漏洞有關的資訊。

這家防毒公司說，可能受影響的電腦，包括安裝有微軟Windows XP Service Pack 1或 Windows 2000 Service Pack 4，以及最新安全更新程式的電腦。該公司也指出，安裝了微軟Windows XP Service Pack 2的電腦似乎可避免這個問題。

微軟在2003年收購GeCad Software，也就是GeCad的防毒軟體開發部門，但GeCad剩下的安全研究與顧問部門仍繼續營運。微軟可望在今年稍後推出自製的防毒軟體。（唐慧文）

http://taiwan.cnet.com/news/software/0,2000064574,20095946,00.htm

自家防毒抓自家系統弱點
大概只有微軟會這樣搞吧