微软在周日（12/10）证实该公司旗下的文字编辑器Word中出现另一零时差攻击漏洞，并有骇客针对该漏洞进行攻击。

微软安全回应中心成员Scott Deacon表示，根据初步的报告及调查，他们确定该漏洞已被用来进行攻击，但是非常有限的目标式攻击。骇客会先要求使用者开启一个夹带在电子邮件或网站上、含有恶意程式的Word档案，一旦得逞，骇客就能在使用者系统上执行任意程式。

Scott Deacon指出，包括Word 2000、2002、2003及Word Viewer 2003都会受到这个最新漏洞的影响。

资安业者McAfee指出，骇客利用这个新的Word漏洞，植入一个可窃取使用者资料的"PWS-Agent.g"木马程式，用来截获使用者在IE、Firefox等浏览器以及POP3电子邮件客户端程式中所输入的密码。

另一资安业者Secunia把此一最新漏洞列为最高的「极重大」（extremely critical）风险等级。主要是因为该漏洞并无任何修补程式，而且骇客已开始进行攻击。

这是微软的Word产品在一周内被证实的第二个零时差攻击漏洞，微软在上周二（12/5）亦公布了一个被骇客攻陷、但却没有修补程式的Word漏洞，骇客只要在一个Word档案中增加一串的字元就可能造成记忆体错误，而让骇客可在使用者的系统上执行任意程式。该漏洞影响Word 2000、2002、2003、Word Viewer 2003及部份Microsoft Works版本。


转载：http://www.ithome.com.tw/itadm/article.php?c=40996

微软表示这是两个不同的漏洞，但却皆属零时差攻击漏洞，而且同样地都已被骇客攻陷。

周二（12/12）就是微软的例行性更新日，但微软先前所发布的修补讯息中并未包含任何的Word漏洞，不过，微软并不排除在例行性更新日之外推出重要漏洞的更新程式。