微軟下周安全更新：來不及修補Word漏洞

微軟在本周二（12/5）才警告使用者，該公司的Word軟體含有漏洞，並可能在下周二（12/12）的例行性修補日推出更新程式，不過，根據微軟周四（12/7）所公布的修補清單，並沒有Word漏洞這一項。

微軟在下周二將推出五個安全通報，其中有四個是針對微軟Windows作業系統，有一個是針對Visual Studio，並未包含本周微軟所揭露的Word漏洞。

根據微軟周二公布的安全通知，駭客已針對此一Word漏洞進行小規模攻擊，該漏洞影響Word 2000、2002、2003、Word Viewer 2003及部份Microsoft Works版本，駭客只要在一個Word檔案中增加一串字元就可能造成記憶體錯誤，並在使用者電腦上執行任意程式，只是，該攻擊仍需要使用者開啟該惡意檔案才能執行。

據了解，微軟已在開發此一Word漏洞的修補程式，可能是來不及在下周二推出。

此一微軟漏洞被列為零時差攻擊漏洞，因為該漏洞已被揭露，但卻苦無修補程式，讓駭客有機可趁而企業則束手無策。

零時差漏洞已被SANS列為企業IT管理人員最迫切解決的問題之一，這使得不少資安業者相繼推出免費的零時差漏洞工具，不過這些工具並非以修補該漏洞為主，而是以資訊揭露及偵測電腦中的安全狀態為主。

例如eEye Digital Security所推出Zero-Day Tracker，是一個追蹤新興漏洞的網站，主要提供漏洞的詳細資訊及分析，並提供新安全漏洞的矯正策略，還會區分漏洞的嚴重程度。

eEye表示，愈來愈多零時差漏洞出現，而且每天都有這些漏洞被攻擊的事件發生，使得企業IT管理人員要花費大多數的時間處理，客戶要求更多的資料及時間來保護企業網路。

Secunia推出的是零時差漏洞偵測工具─Software Inspector，Software Inspector是用來偵測使用者電腦中是否有遺漏安全更新程式或是有不安全的程式版本。

網路入侵偵測軟體業者Sourcefire則提供OfficeCat，OfficeCat專門用來辨識微軟的Office檔案中是否含有潛藏的威脅，並會在使用者開啟前提出警告。（編譯/陳曉莉）