微軟IE VML漏洞也影響Outlook

資安業者Sunbelt在近日指出，IE處理向量標記語言（Vector Markup Language，VML）的漏洞也影響Outlook 2003電子郵件客戶端版本。

目前駭客尚未針對Outlook 2003電子郵件的該漏洞進行攻擊，不過已有一些網站張貼出相關的漏洞攻擊程式。

此一IE漏洞是由Sunbelt在本周所公布，原本以為只會影響微軟IE瀏覽器，但之後該公司發現不論是IE或是Outlook 2003若瀏覽到用VML寫成的惡意圖形程式，皆有可能受到危害。駭客針對該漏洞的攻擊可能造成系統的堆積溢位，允許駭客在使用者電腦中植入任意程式，例如間諜程式、木馬程式或rootkits等。

Sunbelt研究人員指出，Outlook原本就具有阻擋描述性程式的功能，但他們發現駭客只要在VML標籤中嵌入「shellcode」機器語言，不用透過描述性程式就能在Outlook 2003中執行任意程式。

這項發現提昇了該漏洞的危險性。Sunbelt研究暨開發副總裁 Eric Sites表示，假使駭客透過該漏洞要針對IE進行攻擊，那麼也得先誘使IE使用者瀏覽惡意圖片，可是若要針對Outlook進行攻擊，則只要寄送一個惡意的HTML電子郵件即可。

iDefense緊急反應小組總監 Ken Dunham說，開啟Reading Pane功能以讀取HTML郵件的Outlook使用者將會特別容易受到攻擊。

Cybertrust的資訊安全分析師Russ Cooper表示，Outlook 2003不應該會自動呈現VML程式，因此看起來該產品應該有第二個漏洞而導致該情形發生。

微軟計畫在今年10月的定期更新日中修補該漏洞，不過，Eric Sites認為在駭客可能會進行大規模攻擊的壓力下，微軟應該會提早修補該漏洞。

微軟在網站上針對此一漏洞提出暫時性的安全建議，包括針對.dll漏洞設定控制項中的「kill bit」（刪除位元），或是關閉瀏覽器中的描述性程式功能；而對於可能也在影響範圍內的Outlook，微軟則建議使用者將電子郵件讀取格式改為文字模式，避免受到惡意HTML的攻擊。（編譯/陳曉莉）