EMBA的小眼睛

台灣微軟10日表示，該公司在7月13日主動發佈針對Microsoft Office Web 元件風險進行的惡意攻擊警訊，據研究結果發現，該攻擊可使駭客獲取本機使用者權限，進一步導致惡意行為發生，微軟已發佈MS09-034安全更新，用戶應自動更新或下載補充程式。

針對Microsoft Office Web相關元件被發現有安全風險，微軟已於7月13日第一時間釋出緊急應變機制，根據研究發現，部分網站所提供的廣告連結，或是使用者所上傳的內容中，若隱藏攻擊該安全風險的惡意程式，瀏覽該網站或網頁的使用者便會觸發該攻擊程式，而使駭客獲取本機使用者權限。

不過，至目前為止，尚未發現攻擊者可以透過強制轉址方式，迫使使用者存取此類惡意網站之情事發生。但微軟安全應變中心（Microsoft Security Response Center，MSRC）除主動發佈該風險訊息外，同時間由於已接獲多起攻擊事件，因此將該風險等級提升為重大，並已釋出緊急應變機制 http://support.microsoft.com/kb/973472/zh-tw，提供使用者進行主動修復，相關修正程式完成後隨時釋出供使用者立即更新。

微軟在研究分析此次安全弱點時發現，受影響的項目主要是採用Visual Studio Active Template Library（ATL）所撰寫而成的Active元件與控制項，該漏洞可讓惡意攻擊者取得本機電腦的管理權限，並遠端控制並執行程式碼，進一步造成資料洩漏或其他攻擊情事發生。

微軟安全回應中心表示，並非所有使用ATL開發之控制項與元件皆會產生安全風險，其關鍵在於軟體開發人員設計相關控制項與元件時賦予之權限與設定是否完備。MS09-034安全更新強化縱深防禦機制（defense-in-depth），可減輕原先利用有弱點之 ATL控制項與元件開發之程式碼所可能造成的攻擊風險。

台灣微軟提醒民眾，只要做好安全更新，就可避免該安全弱點；由於截至目前為止，台灣尚未出現攻擊災情，但有鑑於其影響層面廣泛之嚴重性，並維護使用者的資訊安全，除釋出針對Office Web Component弱點的緊急應變機制外，也緊急發布安全更新程式MS09-034，以及早解決相關安全問題。

2009.08.11 nownews