微軟修補Exchange及Windows重大漏洞

微軟在周二（5/9）的每月定期修補日發表了三大安全通報，修補了兩個「重大」（critical）漏洞，以及一個「中度」（moderate）漏洞。

修補的兩個重大漏洞分別存在於微軟Exchange伺服器中的行事曆（Calendar）功能，以及微軟視窗作業系統中的Macromedia Flash Player。微軟MS06-019安全通報指出，該通報修補了Exchange Server 2000及Exchange Server 2003的行事曆功能，該漏洞可能讓攻擊者取得電子郵件伺服器系統的掌控權。不過，使用Outlook終端軟體的用戶並未受到此漏洞影響。

MS06-020安全通報修補的是Adobe的Macromedia Flash Player中的漏洞。微軟表示，Windows XP SP1、 Windows XP SP2、Windows 98及Windows Me都內建了有漏洞的Flash Player版本。

安全通報中指出，駭客採用特製的.swf檔就能透過Flash Player的兩個漏洞入侵使用者的電腦。

其實，Adobe在上個月就提供了Flash Player的修補程式讓使用者下載，不過此次微軟則提供讓Windows XP使用者透過Windows Update更新，Windows 98及Windows Me用戶仍必須自行到Adobe網站下載更新程式。

MS06-018安全通報修補的是微軟視窗中的中度漏洞，駭客雖然能透過此漏洞進行攻擊，不過僅限於阻斷式服務攻擊（DoS），影響有限。

資安業者賽門鐵克（Symantec）認為，微軟修補的這些漏洞中，最嚴重的莫過於Exchange伺服器漏洞。

賽門鐵克安全回應中心總監Oliver Friedrichs表示，大多數的Exchange伺服器都是用來接收不知名的使用者寄來的電子郵件，萬一漏洞沒被適當修補，就可能會出現許多蠕蟲。也有專家認為，大多數的Exchange伺服器都躲在防火牆之後，也許能夠減少被攻擊的危險。（編譯/陳曉莉）