微軟修補十大IE漏洞

微軟在周二（4/11）發布每月定期的安全更新，總計發表了五個安全通報以及十四項Windows產品的漏洞修補，其中有十個漏洞來自IE──並包括了受矚目的「createTextRange()」漏洞。微軟同時也更改了IE執行ActiveX控制選項的方式。

在五個安全通報中有三個被微軟列為「重大」（critical）最高安全等級。五個安全通報自MS06-013到MS06-017，其中MS06-013修補的是IE的十個漏洞，裡面有八個漏洞可能讓駭客完全掌管使用者電腦。

受矚目的IE「createTextRange()」漏洞在今年3月22日被揭露，該漏洞讓駭客得以破壞系統的記憶裝置並執行未經使用者授權的程式，並已有駭客透過此漏洞進行攻擊，這使得微軟在昨日發布更新程式之前，便有eEye及Determina等資安業者推出非官方修補程式。

至於微軟更改IE執行ActiveX控制選項的方式則是為了因應Eolas對微軟所提出的專利侵權訴訟，Eolas控訴微軟IE瀏覽器處理嵌入式內容的方式侵犯了該公司的專利權，這使得微軟打算全面修改IE處理網頁多媒體內容的方式，此一更新讓使用者無法直接與APPLET、EMBED或OBJECT等元件所下載的微軟ActiveX控制項直接互動，必須要另外按下按鍵才能夠執行。

微軟公告指出，此次修補的IE十大漏洞中，有三個已被公開，但僅有「createTextRange()」漏洞發現有攻擊行動。不過資安業者賽門鐵克卻說已發現有三個IE漏洞引來攻擊行動。

微軟也指出MS06-013安全通報被列為最應優先更新，以保護使用者的電腦避免受到間諜程式、木馬程式的影響，或是成為駭客操控的僵屍電腦。

MS06-014修補的則是MDAC漏洞，在RDS.Dataspace ActiveX控制選項中藏有遠端程式執行的漏洞，透過該漏洞駭客能完全掌控使用者電腦。

MS06-015為第三個被微軟列為「重大」的安全通報，該漏洞存在於Windows Explorer中執行COM物件的方式。微軟表示，透過該漏洞，駭客可以誘使使用者連結到惡意網站，之後惡意網站會自動轉到遠端檔案伺服器，該伺服器就能使Windows Explorer失效，並讓駭客執行任意程式。

另外，MS06-016安全通報修補的是Outlook Express處理通訊錄的漏洞，微軟說明，假設使用者以管理權限的身份登入，駭客可趁機攻擊該漏洞，並可植入程式、修改或刪除檔案，還可以另闢一個擁有全部權限的帳號。該安全通報被列為「重要」（important）等級。

較不具威脅性的MS06-017通報，則是修復微軟FrontPage Server Extensions的漏洞，該漏洞可造成跨網站的攻擊。（編譯/陳曉莉）