微軟在上周五(11/3)貼出一安全公告,坦承駭客已經鎖定一個存在於視窗作業系統中且未修補的漏洞,SANS網路風暴中心將此漏洞歸類為零時差攻擊漏洞。
微軟表示,此一新的漏洞存在於微軟XML Core Services 4.0中的ActiveX元件,XML Core Services 4.0為一可供開發人員透過諸如JavaScript及Visual Basic等描述性語言存取XML文件的服務。微軟安全回應中心程式經理Ben Richeson表示,現在微軟所收到的相關攻擊報告並不多,同時該公司也在偵測該漏洞的攻擊狀況並且會提供更新程式。
受影響的作業系統包括Windows 2000、Windows XP SP2及Windows Server 2003等,這些作業系統的使用者只要連到一惡意網站並觸動XML HTTP 4.0 ActiveX控制器,駭客就會擁有與登入該電腦的使用者一樣的權限,並掌控整台電腦。
除了SANS將該漏洞列入零時差攻擊漏洞外,法國的安全意外反應小組(Security Incident Response Team)則將該漏洞列為危急(critical)等級,丹麥資安業者Secunia則認為該漏洞非常嚴重。
微軟在安全公告中提供一些暫時性補救措施,包括建議使用者關閉有漏洞的ActiveX控制器,或是重新設定IE瀏覽器杜絕所有的ActiveX控制,或是提高IE的安全等級設定。
微軟表示,該公司也許會在下周二(11/14)的定期更新日修補該漏洞,亦不排除提前進行修補的可能性。(編譯/陳曉莉)
熱門新聞
2025-12-24
2025-09-30
2025-09-18
2025-12-10
2025-04-07
Advertisement