由一群安全研究人員組成的非營利組織─零時差緊急反應小組(Zeroday Emergency Response Team,ZERT)近日針對已過保固期限的微軟Windows向量標記語言(Vector Markup Language,VML)漏洞發表非官方修補程式,包括Windows 98、Windows 98 SE、Windows ME、Windows 2000及Windows 2000 SP等版本。
ZERT早就在9月針對VML漏洞發表非官方修補程式,之後微軟也緊急提前發表官方修補程式,但當時雙方的修補程式皆僅針對主流作業系統,而未涵蓋上述已過免費保固日期的系統。
無獨有偶,ZERT及資安業者Determina皆在上周針對微軟視窗圖形使用者介面中的ActiveX控制器─WebViewFolderIcon漏洞提供非官方修補程式。
有趣的是,此一漏洞細節是在今年7月由駭客HD Moore所揭露,HD Moore在今年7月祭出「瀏覽器臭蟲月」計畫,宣布7月的每一天都要發表一個瀏覽器漏洞,當月他所發表的漏洞中,有22個屬於微軟所有,HD Moore說,微軟迄今僅修補其中的2個漏洞。
HD Moore專門提供名為Metasploit工具包供駭客攻擊使用,集結他所開發的漏洞攻擊程式,近日HD Moore也在該工具包中加入此一WebViewFolderIcon漏洞攻擊程式。
在HD Moore發動瀏覽器臭蟲月計畫之後,微軟表示,這當中大多數的IE漏洞攻擊程式主要是在使用者不預期的情況下關閉瀏覽器,不過,微軟上周發表的安全建議指出預計在今年10月10日的安全更新日修補WebViewFolderIcon漏洞。
ZERT及Determina則在上周就祭出WebViewFolderIcon的漏洞修補程式供使用者免費下載,資訊安全研究人員認為這是一個危險的漏洞,因為只要駭客引導使用者透過IE執行一惡意的ActiveX控制器,就能在受感染的電腦上執行任意程式。
微軟一向不建議使用者採用非官方修補程式,因為該公司認為這些修補程式並未通過微軟的品質保證測試。(編譯/陳曉莉)
熱門新聞
2026-01-16
2026-01-21
2026-01-19
2026-01-21
2026-01-20
2026-01-20