Word出現第三個零時差攻擊漏洞

微軟的文書處理軟體Word在本月以來所出現的兩個零時差攻擊漏洞還未修補，現在又有資安業者相繼警告，出現另一個零時差攻擊漏洞，駭客並已將相關的概念性驗證程式公布在網路上，微軟亦於周四（12/14）表示已針對該漏洞展開調查。

資安業者Secunia及McAfee指出，Word中有一緩衝區溢位漏洞，駭客可讓使用者系統當機，最後還可自遠端在使用者系統上執行任意程式。另一資安業者eEye則說，該漏洞影響Word 2000、2002、2003及WordViewer2003，一次成功的攻擊可能讓駭客掌控使用者電腦。

McAfee安全研究經理DaveMarcus表示，目前網路上已有攻擊該漏洞的概念性驗證程式，該程式提供一個攻擊樣本讓駭客用來建立具功能的攻擊，但現在尚不清楚該程式是如何運作的。只是，與最近出現的Word漏洞一樣，該漏洞可讓駭客在受害者的電腦上執行任意程式。

微軟表示，正在調查此一漏洞，並將持續調查公開的報告以在必要時提供使用者指導方針，微軟將會採取某些適當的行動，例如在例行性更新日進行更新或是提供緊急更新程式。

美國電腦緊急應變小組（United States Computer Emergency Readiness Team，US-CERT）則在微軟尚未推出修補程式前提出幾點建議，包括不要開啟未知的Word檔案，特別是那些從網站上下載或是附加在郵件上的檔案；不要太依賴檔案副檔名過濾器，以防止使用者因系統呼叫Word開啟其他副檔名的檔案時受到感染；最後則是建議使用者關閉Office檔案的自動開啟功能。

近來微軟Word出現多個零時差攻擊漏洞，先是在12月5日公布一個已被駭客鎖定的Word漏洞，之後在本月10日再度證實另一零時差Word漏洞，直到現在微軟皆尚未針對這些Word漏洞提供修補程式。（編譯/陳曉莉）