微軟緊急修補VML漏洞

在眾多資安業者相繼警告VML漏洞可能造成重大危害之後，微軟在本周二（9/26）提早在10月10日的定期更新之前釋出了該漏洞的安全通報MS06-055。

此一漏洞是藏匿在視窗作業系統的vgx.dll元件中，該元件是用來支援作業系統中的向量標記語言（Vector Markup Language，VML）文件，VML則是用來透過IE瀏覽器瀏覽網路上的高畫質圖片，微軟將該漏洞列為最高等級的「重大」（critical）漏洞。

微軟在安全通報中表示，駭客可以建立一個惡意網頁，並藉由使用者瀏覽網站或HTML電子郵件格式時入侵使用者電腦。不過，微軟表示，此一漏洞僅影響現存的IE 5.01及IE 6.0，使用這些瀏覽器版本的作業系統包括 Windows 2000、Windows XP及Windows Server 2003。

此外，微軟表示該漏洞並不影響仍在測試當中的最新瀏覽器版本─IE 7.0。

雖然微軟已經緊急在例行性更新日之前就提供更新版本，但仍有安全專家認為微軟動作可能還是慢了一步。因為根據iDefense的估計，已經有2200台的主機被駭，而且連到這些主機的使用者會被引導到其他含有惡意VML檔案的網站。

受到感染的電腦可能會成為駭客操縱的僵屍電腦，或被植入間諜程式、木馬程式及rootkit等。

不過，微軟並未說有多少數量的視窗作業系統被攻陷，但日前曾經表示尚未收到大規模的攻擊報告。

由安全專家組成的零時差攻擊緊急回應小組（Zeroday Emergency Response Team，ZERT）因為認為此一VML漏洞很危險，在上周就推出非官方修補程式。事實上，從今年初迄今，就陸續有業者或安全研究人員針對微軟作業系統中的WMF漏洞、IE中的「createTextRange()」漏洞及Word漏洞提供非官方修補程式，只是微軟一律不建議採用。（編譯/陳曉莉）