微軟公司於週二釋出2項安全性更新程式,一為修補IE的重大安全漏洞,另一則為修補Visual Studio之漏洞。更多相關細節,該公司要在修補程式公佈之後才會說明。
微軟公司(Microsoft)於上週五稍晚時表示,該公司將在其每月既定的修補程式公佈時程之外,另行於本週二(7/28)釋出兩項安全性更新。這個弱點修補程式的釋出,並不在一般預定計畫之內,此項消息一出乃立刻吸引各方注意。
微軟安全回應中心(Microsoft Security Response Center)經理Mike Reavey在其發表的聲明中指出,這2項緊急安全性更新,一個是針對Visual Studio提供更新程式,另一則是對於IE的安全更新。不過,Mike Reavey表示,該公司對此無法再透露更多細節,唯一能夠說的是,藉由Visual Studio的安全性更新,將可針對幾個特定應用程式的問題加以修補;而透過IE的安全更新,則會修改深度防護(defense-in-depth),以針對Visual Studio更新程式所修補的問題再提供更進一步之保護。
Mike Reavey指出,這2個漏洞都可能導致遠端程式攻擊,而針對IE的安全性更新,將可使其在進一步保護Visual Studio更新程式所修補的問題之外,也修補IE本身的重大安全漏洞。
Mike Reavey表示,微軟此次公佈的兩項緊急更新程式,乃係設法解決已知的資安漏洞。用戶若已進行最新的安全性更新,便可毋須擔心因此一弱點而遭受攻擊。
然而,絕大多數的微軟用戶所使用的軟體可能都是存有安全漏洞的。在2008年中,Google曾有一份資料顯示,45.2%造訪其網站的網際網路使用者,所使用的瀏覽器都沒有進行最新的安全性更新。
微軟在預定週期之外另行釋出更新程式的留動並不尋常,而且,通常微軟釋出緊急更新時,也就代表相關漏洞已遭駭客利用進行攻擊,但該公司此次並未公佈攻擊資訊。2008年12月時,該公司公佈的MS08-078安全更新程式,便是要修補IE瀏覽器的漏洞。否則,駭客將可利用該漏入侵綁架此網路瀏覽器,並占據整台電腦。
此外,微軟也額外針對2008年十月釋出的MS08-067安全修補程式提供更新版本,以解決Windows Server可能允許惡意蠕蟲散佈的問題-若是微軟用戶未能及時更新,此一弱點迅即會為Conficker/Downadup蠕蟲所利用而感染網路主機;除了會對還沒有完成安裝MS08-067重大安全性更新的用戶造成影響外,還會利用其他多種方式展開攻擊行為。
2009.07.28 網路資訊
留言列表