【新聞】 微軟公布四項安全警告

[giogio2000]

微軟公布四項安全警告
CNET新聞專區：Joe Wilcox　　04/10/2002




微軟一天之間陸續發出四份安全通告，都與Windows作業系統與SQL Server資料庫軟體有關。

微軟周三晚間指出Windows說明檔中有個臭蟲可讓駭客伺機侵入並控制使用者的電腦，此一漏洞影響所及涵蓋Windows 98、98SE、ME、XP、NT4、NT4 Terminal Server Edition與2000。微軟另外也公布兩個與說明檔有關的問題，因此才發出等級為「緊急」的告示。






微軟同時也公布兩個「中等」等級的警告，一個與壓縮檔案有關，另一個則與微軟Services for Unix 3相關。第四個列為「緊急」的警告則是SQL Server 7與2000的修補檔。

微軟表示第一個漏洞是出在ActiveX，此一漏洞可執行buffer run，因此攻擊者可直接從網站以HTML郵件格式寄給使用者，並藉此進入對方電腦，取得與使用者同樣等級的權限。

另二個說明檔漏洞則影響了尋找HTML說明檔的捷徑。正常情況下，只有作業系統信任的的說明檔才能使用此捷徑。

「兩個漏洞加起來使得這項限制被突破。」一份安全告示中寫到。「首先，HTML說明工具會誤判由網頁或HTML郵件所寄出的.chm檔案隸屬於安全區域，因此便會直接打開。」第二個攻擊則是由HTML電子郵件聯繫.chm檔與捷徑，雖然這部分較難執行，但一旦成功開啟後，微軟表示「此一捷徑將可執行任何使用者權限內的動作。」

第二封警告中的兩個漏洞都與.zip壓縮檔有關，影響的版本包括Windows 98(有安裝Plus!者)，以及Windows Me與XP。微軟表示此漏洞對桌上型作業系統會有中度影響，對網路與網內伺服器則影響不大。

第三封安全警告會影響多個第三方軟體。此份警告中的三漏洞分別影響NT4、2000與XP，有可能遭受DOS阻斷攻擊或者允許駭客執行病毒碼。

第四封警告則有四個新發現的漏洞，影響SQL Server 7與SQL Server 2000。其中一個buffer overrun破綻可攻擊者長驅直入系統。「使用者無需經過伺服器認證或發出直接指令便可利用此漏洞。」警告中寫到。

微軟執行長周三才剛寄了一份email給客戶，解釋該公司目前正極力降低軟體臭蟲的作法，但他也承認「當軟體大到某個程度時，臭蟲捉不勝捉」的鐵律。

此番最新一輪警告使得微軟今年發出的安全告示達到57次。(陳奭璁)