微軟祭出12個安全更新修補20個漏洞

微軟在本周二（2/13）釋出12個安全更新，以修補20個漏洞，其中有6個更新被列為「重大」（critical）等級，另外6個則被列為重要（important）等級。

6個重大等級更新分別是修補HTML Help、Microsoft Data Access、Microsoft Malware Protection Engine、Microsoft Word、Microsoft Office及IE中的漏洞，被列為重大更新意味著這些漏洞可能導致遠端程式攻擊。

其中，最受矚目的是微軟辦公室軟體及惡意程式保護引擎（Malware Protection Engine）的更新。在Microsoft Word更新（MS07-014）中，微軟修補Malformed String、Malformed Data Structures、Word Count、Word Macro、Malformed Drawing Object及Malformed Function等漏洞，影響Word2000到Word 2006版本，僅有Word 2007不受影響。

Microsoft Office更新程式（MS07-015修補的則是PowerPoint及Excel中的漏洞，有眾多版本受到影響。

微軟Office及Word更新之所以受到注意是因為其中有些漏洞早就公開而且已被用來進行攻擊，因此資安業者呼籲使用者最好儘快安裝相關更新。

另一個重要更新─MS07-010是修補微軟的惡意程式保護引擎的漏洞，該引擎被用在Windows Live One Care及Windows Defender等安全產品中，用來掃描惡意程式。微軟說明，此一漏洞存在於該引擎分析PDF檔案格式的方式，駭客可以透過一個惡意的PDF檔案攻擊該漏洞，當使用者接受此一惡意檔案並啟動惡意程式保護引擎進行掃描時，就可能造成遠端程式攻擊。

此外，由於微軟Antigen及Forefront Security等安全功能也都使用了同一引擎，因此受到上述安全功能保護的系統也會受到波及，諸如SharePoint、Exchange及SMTP Gateway等。

雖然目前尚未有針對該漏洞的攻擊活動，但Qualys漏洞實驗室經理Amol Sarwate則說，這些攻擊非常難以避免，因為這些產品是在系統背景自動執行。資安業者賽門鐵克亦視此一漏洞為微軟周二修補的漏洞中最嚴重的一個。（編譯/陳曉莉）