微軟發布安全通報　修補IE重大漏洞

微軟於發布兩項安全通報，分別是MS050-054及MS050-055。並發行IE安全漏洞的修補程式，

今年11月底，一個自稱是Computer Terrorism（電腦恐怖份子）的團體才針對IE執行JavaScript的漏洞所開發的概念性驗證程式。微軟周二發布的MS050-054安全通報中修補了四個IE漏洞，有兩個被評為「重大」（critical）等級，其中一個就是上述已遭攻擊的JavaScript漏洞。另一個則是IE處理惡意COM物件的漏洞。

這兩個「重大」漏洞都有可能導致用戶電腦被遠端控管。另兩個較不嚴重的IE漏洞，分別來自IE檔案下載對話框及HTTPS proxy。

資訊安全業者及微軟都呼籲微軟用戶要儘快進行更新。這四個漏洞影響了目前多數的IE版本，涵蓋IE5.0、IE5.5、IE6.0，連在Windows XP SP2上執行的IE6.0都受到波及。

MS050-055主要修補Windows 2000 SP4的漏洞，被評為「重要」（important）等級。該漏洞可能讓使用者的權限提高，以較低的安全權限登入接管Windows 2000電腦。

此外，微軟也針對Sony BMG光碟所造成的電腦系統受損推出修補程式，特別是執行了由First4Internet所設計的CodeSupport程式的電腦，因為CodeSupport程式讓視窗作業系統開啟了一道迎接Web-based攻擊的大門。

CodeSupport本來是Sony BMG委託First4Internet設計用來刪除含有Rootkit程式的XCP版權保護軟體，為線上版，該移除工具會先下載一支程式，讓使用者的電腦可以接受來自網站上的指令，該支程式將在電腦中持續活動直到接到移除XCP軟體的指令，因此，在移除指令尚未被執行前，該支程式將接受來自任何網站上的任何指令。

因此微軟這次也提供更新程式以刪除還留在使用者電腦中的Active-X控制元件。

另外，微軟的惡意程式移除工具也可以協助Sony BMG客戶移除尚未移除的XCP軟體。（編譯／陳曉莉）