【新聞】 微軟公布四項安全警告



贊助商連結


giogio2000
2002-10-05, 10:31 PM
微軟公布四項安全警告
CNET新聞專區:Joe Wilcox  04/10/2002




微軟一天之間陸續發出四份安全通告,都與Windows作業系統與SQL Server資料庫軟體有關。

微軟周三晚間指出Windows說明檔中有個臭蟲可讓駭客伺機侵入並控制使用者的電腦,此一漏洞影響所及涵蓋Windows 98、98SE、ME、XP、NT4、NT4 Terminal Server Edition與2000。微軟另外也公布兩個與說明檔有關的問題,因此才發出等級為「緊急」的告示。






微軟同時也公布兩個「中等」等級的警告,一個與壓縮檔案有關,另一個則與微軟Services for Unix 3相關。第四個列為「緊急」的警告則是SQL Server 7與2000的修補檔。

微軟表示第一個漏洞是出在ActiveX,此一漏洞可執行buffer run,因此攻擊者可直接從網站以HTML郵件格式寄給使用者,並藉此進入對方電腦,取得與使用者同樣等級的權限。

另二個說明檔漏洞則影響了尋找HTML說明檔的捷徑。正常情況下,只有作業系統信任的的說明檔才能使用此捷徑。

「兩個漏洞加起來使得這項限制被突破。」一份安全告示中寫到。「首先,HTML說明工具會誤判由網頁或HTML郵件所寄出的.chm檔案隸屬於安全區域,因此便會直接打開。」第二個攻擊則是由HTML電子郵件聯繫.chm檔與捷徑,雖然這部分較難執行,但一旦成功開啟後,微軟表示「此一捷徑將可執行任何使用者權限內的動作。」

第二封警告中的兩個漏洞都與.zip壓縮檔有關,影響的版本包括Windows 98(有安裝Plus!者),以及Windows Me與XP。微軟表示此漏洞對桌上型作業系統會有中度影響,對網路與網內伺服器則影響不大。

第三封安全警告會影響多個第三方軟體。此份警告中的三漏洞分別影響NT4、2000與XP,有可能遭受DOS阻斷攻擊或者允許駭客執行病毒碼。

第四封警告則有四個新發現的漏洞,影響SQL Server 7與SQL Server 2000。其中一個buffer overrun破綻可攻擊者長驅直入系統。「使用者無需經過伺服器認證或發出直接指令便可利用此漏洞。」警告中寫到。

微軟執行長周三才剛寄了一份email給客戶,解釋該公司目前正極力降低軟體臭蟲的作法,但他也承認「當軟體大到某個程度時,臭蟲捉不勝捉」的鐵律。

此番最新一輪警告使得微軟今年發出的安全告示達到57次。(陳奭璁)