微軟發表六項更新　五項列為重大等級

微軟在周二（11/15）的例行更新日發表了六項更新，總計修補了13個漏洞，其中有五項更新被微軟列為「重大」（Critical）等級，當中也包含存在XML及IE中的零時差攻擊漏洞。

其中MS06-066更新修補了NetWare中的客戶端服務漏洞，也是此次更新中唯一被列為比較不嚴重的「重要」（important）等級漏洞；MS06-067修補的是存在於IE中的DirectAnimation ActiveX控制器漏洞，今年10月有一中國資安研究人員發表了該漏洞的攻擊程式，隨後即有駭客針對該漏洞進行攻擊；MS06-068修補的是Microsoft Agent的漏洞，如果駭客設計一個惡意的.ACF檔案，並引誘使用者連上該惡意網站，就能執行遠端攻擊。

MS06-069修補的是Adobe的Macromedia Flash Player漏洞，微軟警告，駭客可以透過傳送一個惡意Flash動畫而攻擊使用者的系統。微軟偶爾也會更新其他業者的漏洞，特別是當這些漏洞會影響微軟視窗作業系統時。

MS06-070修補的是微軟Workstation Service Memory漏洞，該漏洞會造成嚴重的記憶體錯誤，成功的攻擊會讓系統完全掛掉。

MS06-071則是修補近來被熱烈討論的Microsoft XML Core Services漏洞，此漏洞已被駭客攻陷，被列為零時差攻擊漏洞。

在微軟昨天的更新中，有不少資安專家認為最重要的莫過於MS06-070所修補的工作站服務漏洞。

資安業者賽門鐵克（Symantec）指出，此一工作站服務漏洞可讓駭客自遠端散布蠕蟲到使用者系統上，受影響的系統包括Windows 2000與Windows XP，也可能影響Windows Server 2003。

IBM網路安全系統X-Force團隊的資深營運經理Lamar Bailey也認為MS06-070修補的是非常危險的漏洞，因為它讓駭客可以不經授權就進入使用者系統中，甚至可以發動大規模的蠕蟲攻擊。

漏洞管理公司Qualys安全經理Amol Sarwate指出，Workstation Service負責區域或網路上的檔案系統與列印需求，為視窗中的關鍵服務，因此無法被關閉，也較不容易受到防火牆的保護，所以唯一的解決方案就是儘快更新。

微軟安全程式經理Christopher Budd則說，該漏洞在Windows 2000中特別嚴重，對Windows XP的影響較為輕微，因為後者擁有防火牆以及採用不同的網路技術。

此外，包括賽門鐵克及IBM都呼籲使用者更新MS06-071，因為它影響所有的IE版本，而且駭客已經對該漏洞進行攻擊。但微軟表示，XML Core Services漏洞並不會影響最新的IE 7.0。（編譯/陳曉莉）