微軟將修補XML Core Services漏洞

微軟周四（11/9）祭出公告，指出下周二（11/14）的每月定期更新日將提供6個安全更新程式，其中一個更新程式就是要修補已被駭客攻陷的XML Core Services漏洞。

此一XML Core Services漏洞存在於微軟XML Core Services 4.0中的ActiveX元件。XML Core Services 4.0為一可供開發人員透過諸如JavaScript及Visual Basic等描述性語言存取XML文件的服務，受影響的作業系統包括Windows 2000、Windows XP SP2及Windows Server 2003等，這些作業系統的使用者只要連到一惡意網站並觸動XML HTTP 4.0 ActiveX控制器，駭客就會擁有與登入該電腦的使用者一樣的權限，並掌控整台電腦。

駭客己經公開如何透過該漏洞進行攻擊的程式碼，因此許多資安業者都將該漏洞列為重大等級。微軟也在上周五（11/3）提供暫時防止該漏洞被攻陷的建議措施。

微軟此次所提供的6個安全更新程式中，將有5個是修補作業系統中的漏洞，另一個可望修補Visual Studio 2005中的安全漏洞。

微軟在上周三（11/1）針對Visual Studio 2005所存在的WMI Object漏洞提出警告，說明該漏洞可能讓駭客在受害者電腦上執行任意程式，為一零時差攻擊漏洞，微軟將該漏洞列為非常重大等級，並提供暫時性補救措施。

與上個月的安全更新相較，11月的安全更新算少的，因為上個月微軟總計發表10個更新程式，修補了26個漏洞，創下微軟修補最多漏洞的紀錄。

在下周二的定期更新日中，微軟除了發表安全更新外，也將推出新版的惡意程式移除工具（Malicious Software Removal Tool），並透過微軟更新（Microsoft Update）及微軟伺服器更新（Windows Server Update Services）服務自動幫使用者昇級。（編譯/陳曉莉）