微軟公佈更多Windows重大瑕疵
CNET新聞中心:Ed Freuenheim and Ina Fried 14/07/2004
微軟公司13日公佈視窗系統7項新發現的安全漏洞,包括兩項被列為「緊急」(critical)的重大弱點。
另一方面,微軟已開始提供工具,清理受到Download.Ject影響的系統。微軟之前曾推出預防該影響的組態變更,但並未釋出修補程式。
電腦安全公司賽門鐵克說,新視窗系統的弱點包含「高風險」的威脅。該公司的聲明指出:「這些新公佈的弱點可被遠端利用,發動阻斷式攻擊,並可能造成機密資料遺失。」「賽門鐵克強烈建議使用者立刻針對這些弱點採取修補措施。」
這些新發現的瑕疵只是微軟和其使用者所經歷的眾多安全問題的一小部分,微軟已經承諾將更重視其軟體的安全防護。
13日公佈的安全漏洞中,有兩項被微軟列為最嚴重的等級。該公司對「重大」的定義是:被利用之後,無須使用者採取任何行動,便能散佈繁殖網路蠕蟲的弱點。
第一個重大問題,來自「Task Scheduler」中一個不受檢查的緩衝器,這是記憶體中用來接受外部資料的程式。不受檢查的緩衝器未含有確定資料安全性的指令。
微軟表示,如果有管理特權的使用者開機,成功利用這項弱點的攻擊者就能完全掌控被侵襲的系統,包括安裝程式、刪除資料或創造享有最高權限的帳號。微軟說,系統權限較低的使用者受到攻擊的風險較高權限的使用者低。
賽門鐵克指出,在以網路為基礎的攻擊情境中,攻擊者必須設立一個網站,內含利用這項弱點的網頁。攻擊者還必須想辦法讓可能的受害者造訪這個網站,通常是誘使他們點下通往網站的鏈結。
微軟說第二個重大弱點與「HTML Help」和「ShowHelp」有關。如果具有管理特權的使用者開機,成功利用這些弱點的攻擊者也能完全掌控被侵襲的系統。
微軟表示,另外4項安全漏洞屬第二等級的「重要」瑕疵,最後一項的嚴重度是「普通」。
微軟副總Mike Nash在多倫多的全球夥伴會議中,宣布Download.Ject的修補工具。該公司也表示,已經提前達成訓練50萬個顧客和夥伴如何為他們的系統提供最佳防護的目標。微軟特別指出,使用微軟自動更新功能的人,已較10個月前多出五倍。
Nash在多倫多受訪時表示,微軟已將安全投資擴及許多領域。他說:「如果有萬無一失的方法,我們願意投資。」Nash同時負責微軟的安全事業與科技小組。
Nash說,既然沒有,微軟只好從幾個方面努力 – 讓消費者和公司客戶更容易更新軟體、改進微軟的程式碼,並開發辨識和保護未修補機器的的軟體。在此同時,Nash承認他們對撰寫惡意程式的人,還有一段距離要追趕。他說:「我們兩邊都在進步。」(陳智文)
fr.: http://taiwan.cnet.com/news/software/0,2000064574,20090846,00.htm
0 Comments:
Post a Comment
<< Home