微軟修補視窗及郵件軟體漏洞

微軟在周二（1/10）發表了MS06-002及MS06-003安全通報，分別修補了Windows作業系統以及Exchange與Outlook郵件軟體中的漏洞，這兩項漏洞都被評為「重大」（Critical）等級。

在MS06-002安全通報中，微軟描述了視窗處理嵌入網頁格式的漏洞，駭客可以製造特定的格式放在網站上或是透過電子郵件寄送給電腦使用者，並能夠完全掌控受感染的電腦。該漏洞影響目前微軟所有的視窗作業系統。Exchange 2003 SP1及SP2以外的其他所有郵件軟體都受影響。

此漏洞是由eEye Digital Security所提出，eEye表示，該漏洞藏在Embedded Open Type格式中，可能造成標準的堆積溢出（heap overflow）。

而另一個MS06-003安全通報則是說明存在微軟Exchange及Outlook中的安全漏洞。這個漏洞是由Next Generation Security Software所發現，存在於上述電子郵件軟體處理TNEF（Transport Neutral Encapsulation Format）的MIME附加檔案的方式。

TNEF被Exchange與Outlook用來寄送及處理像RTF格式（Rich Text Format）的檔案，駭客只要寄送含有惡意程式的RFT訊息到Exchange或Outlook中，使用者甚至不用開啟郵件，系統就會受到感染，並任由駭客掌控整個系統。

資安業者nCircle研究總監Mike Murray表示，這是一個雙重漏洞，它可以同時讓Exchange及Outlook受到攻擊，如果駭客寄一封惡意郵件給100個人，就可以危害100台電腦及15台Exchange伺服器。

微軟也建議無法即時安裝此一修補程式的用戶可以暫時先阻擋所有的RTF郵件，不過Mike Murray認為，這對企業而言也許是不可能的，因為他自己平均有1成的郵件為RTF格式，如果企業阻擋了這類型的格式可能會遺漏重要郵件。（編譯/陳曉莉