I'n Blog 之萬象真藏

微軟公司10日釋出4月安全更新的同時，卻傳出Office軟體有三項未修補的安全漏洞曝光，McAfee公司正在調查這些是否為新發現的問題。

根據McAfee Avert Labs 部落格10日張貼的一篇文章，這些弱點是公佈在一個線上安全論壇，其中兩項會造成Office軟體失效。McAfee研究員Karthik Raman在部落格寫道：「其中一項堆積溢位漏洞可能被用來執行程式。」這類漏洞通常被用來哄騙目標受害者開啟惡意的Office文件。

微軟也正在調查這項消息，該公司的代表說，目前尚未接獲任何相關攻擊的通報。諷刺地是，這起消息曝光的時間，正好是微軟釋出每月安全更新的日子。該公司仍在處理上週緊急更新所引發的後續問題。

Raman寫道：「這是又一次零時差漏洞在更新日前後曝光，目的或許是在下個月的更新日前，讓這些漏洞的曝光放到最大。」

網路惡徒已發現，只要在微軟定期更新日的前後發動新攻擊，就能達到最大的效果。微軟固定在每月的第二個星期二提供安全更新。某些安全專家用「零時差週三」形容這種策略。

McAfee仍在調查這些安全弱點。該公司的安全研究與情報經理Dave Marcus表示，它們不一定全是新問題。他說：「有時所謂的零時差，其實可能和某些已知的問題有關。」

若這三項漏洞也是新問題，微軟Office產品未修補的零時差弱點將高達5個。微軟這次並未提供任何Office修補程式，僅管有兩個相關弱點早已曝光。（陳智文/譯）