I'n Blog 之萬象真藏

微軟發佈八月定期安全更新，廣為使用的網頁瀏覽器Internet Explorer (IE)具遠端執行程式碼漏洞，恐成駭客入侵途徑。

微軟今(15)日發佈八月定期資安公告，共提出9個安全漏洞與產品更新，其中有6項被列為危險等級最高的「重大」更新，而賽門鐵克發佈的評估報告，則將擁 有眾多使用者的IE瀏覽器漏洞列為影響最大的項目之一，未更新產品的使用者若瀏覽經駭客刻意設計的網頁，將可能遭受遠端執行程式碼攻擊，電腦控制權恐落入 駭客手中。

值得注意的是，該項IE安全更新中，包含了三個微軟未公開過的漏洞，集中在此次發佈修補程式，影響版本包括IE 5.01、IE 6及IE 7，微軟建議使用者應立即更新，避免遭受攻擊。

微軟IE瀏覽器的安全性經常遭受質疑。根據賽門鐵克今年初發佈的第11期全球網路安全威脅研究報告，IE光在在2006下半年即被發現54 個弱點，高於第二位Mozilla Firefox的40個，但微軟從弱點被發現到提出修補程式間的「空窗期」卻長達10天，遠高於Mozilla的2天。

微軟則表示修補程式依漏洞嚴重程度，有既定的公告機制。該公司營運暨行銷處伺服器平台事業部資深行銷經理史百誠解釋道，當微軟產品的漏洞被本身研究人員或 其他業者發現後，會先送交安全應變中心(Microsoft Security Response Center)進行研究、評估後，依照危害等級，決定要立即發表緊急更新，或是納入每個月的定期安全更新，「更新的公告時機已將漏洞的危害程度考量在 內，」史百誠說。

除了影響普遍的IE漏洞，此次安全更新還包括另五個同樣會引發遠端程式碼攻擊的重大更新，受影響的產品或服務項目分別為Windows GDI Graphic、XML Core Services、Office Excel、向量標記語言、以及OLE Automation等。

而微軟號稱有史以來最安全的作業系統Windows Vista，其小工具(gadget)也因具有可能造成遠端程式碼攻擊的漏洞，而被列為危害程度第二的「重要」等級。此外，Windows Media Player、Virtual PC 與 Virtual Server亦分別因遠端程式碼攻擊與權限提高漏洞，而被列入「重要」更新。

史百誠呼籲用戶，除了立即上網更新微軟產品，隨後並應更新防毒軟體、確認個人防火牆已開啟，確保電腦安全性。

http://taiwan.cnet.com/enterprise/topic/0,2000062938,20122076,00.htm