微軟在周日（12/10）證實該公司旗下的文字編輯器Word中出現另一零時差攻擊漏洞，並有駭客針對該漏洞進行攻擊。

微軟安全回應中心成員Scott Deacon表示，根據初步的報告及調查，他們確定該漏洞已被用來進行攻擊，但是非常有限的目標式攻擊。駭客會先要求使用者開啟一個夾帶在電子郵件或網站上、含有惡意程式的Word檔案，一旦得逞，駭客就能在使用者系統上執行任意程式。

Scott Deacon指出，包括Word 2000、2002、2003及Word Viewer 2003都會受到這個最新漏洞的影響。

資安業者McAfee指出，駭客利用這個新的Word漏洞，植入一個可竊取使用者資料的"PWS-Agent.g"木馬程式，用來截獲使用者在IE、Firefox等瀏覽器以及POP3電子郵件客戶端程式中所輸入的密碼。

另一資安業者Secunia把此一最新漏洞列為最高的「極重大」（extremely critical）風險等級。主要是因為該漏洞並無任何修補程式，而且駭客已開始進行攻擊。

這是微軟的Word產品在一週內被證實的第二個零時差攻擊漏洞，微軟在上周二（12/5）亦公布了一個被駭客攻陷、但卻沒有修補程式的Word漏洞，駭客只要在一個Word檔案中增加一串的字元就可能造成記憶體錯誤，而讓駭客可在使用者的系統上執行任意程式。該漏洞影響Word 2000、2002、2003、Word Viewer 2003及部份Microsoft Works版本。


轉載：http://www.ithome.com.tw/itadm/article.php?c=40996

微軟表示這是兩個不同的漏洞，但卻皆屬零時差攻擊漏洞，而且同樣地都已被駭客攻陷。

周二（12/12）就是微軟的例行性更新日，但微軟先前所發布的修補訊息中並未包含任何的Word漏洞，不過，微軟並不排除在例行性更新日之外推出重要漏洞的更新程式。