MS Office Web元件出现漏洞 微软:已发布安全更新
更新日期:2009/08/11 00:19 记者苏湘云/台北报导
http://tw.news.yahoo.com/article/.../17/1oqe9.html台湾微软10日表示,该公司在7月13日主动发布针对Microsoft Office Web 元件风险进行的恶意攻击警讯,据研究结果发现,该攻击可使骇客获取本机使用者权限,进一步导致恶意行为发生,微软已发布MS09-034安全更新,用户应自动更新或下载补充程式。
针对Microsoft Office Web相关元件被发现有安全风险,微软已于7月13日第一时间释出紧急应变机制,根据研究发现,部分网站所提供的广告连结,或是使用者所上传的内容中,若隐藏攻击该安全风险的恶意程式,浏览该网站或网页的使用者便会触发该攻击程式,而使骇客获取本机使用者权限。
不过,至目前为止,尚未发现攻击者可以透过强制转址方式,迫使使用者存取此类恶意网站之情事发生。但微软安全应变中心(Microsoft Security Response Center,MSRC)除主动发布该风险讯息外,同时间由于已接获多起攻击事件,因此将该风险等级提升为重大,并已释出紧急应变机制
http://support.microsoft...3472/zh-tw,提供使用者进行主动修复,相关修正程式完成后随时释出供使用者立即更新。
微软在研究分析此次安全弱点时发现,受影响的项目主要是采用Visual Studio Active Template Library(ATL)所撰写而成的Active元件与控制项,该漏洞可让恶意攻击者取得本机电脑的管理权限,并远端控制并执行程式码,进一步造成资料泄漏或其他攻击情事发生。
微软安全回应中心表示,并非所有使用ATL开发之控制项与元件皆会产生安全风险,其关键在于软体开发人员设计相关控制项与元件时赋予之权限与设定是否完备。MS09-034安全更新强化纵深防御机制(defense-in-depth),可减轻原先利用有弱点之ATL控制项与元件开发之程式码所可能造成的攻击风险。
台湾微软提醒民众,只要做好安全更新,就可避免该安全弱点;由于截至目前为止,台湾尚未出现攻击灾情,但有鉴于其影响层面广泛之严重性,并维护使用者的资讯安全,除释出针对Office Web Component弱点的紧急应变机制外,也紧急发布安全更新程式MS09-034,以及早解决相关安全问题。
