Windows動態游標有漏洞　eEye提供修補程式

微軟Windows在上週傳出有處理動態游標檔案（.ani）的漏洞後，資安業者eEye旋即在上周五（3/30）發表了非官方修補程式。

McAfee及eEye相繼在上周揭露該漏洞，其中McAfee表示該漏洞已被用來進行攻擊。根據eEye的說明，.ani經常被網頁開發人員用來提供動態游標以改善網站使用經驗，而駭客只要在網站上的.ani檔案中嵌入惡意程式，當使用者執行超連結並造訪惡意網站時就可能受到感染，此外，微軟的Office應用程式也使用相同的.ani處理程式，使得Office檔案亦成為感染途徑。

該漏洞被列為零時差攻擊漏洞及高度風險等級，而且早有駭客展開攻擊，eEye表示，透過此一漏洞可進行許多不同的攻擊，從植入木馬程式，到透過擴大權限以取得系統掌控權等都有可能發生。

因此，eEye緊急在上周發表一暫時性的非官方修補程式供企業及使用者免費下載，並呼籲使用者在其他解決方案尚未出現前儘快安裝。

微軟則在上周六（3/31）發表的安全通知證實此一漏洞的存在，表示正積極調查此一漏洞，並會提供適當行動。微軟下一次的例行性更新日為4月10日。

微軟安全回應中心計畫經理Adrian Stone則在部落格中指出，Outlook 2007及Vista中的Windows Mail並不受此一漏洞影響，但Outlook Express使用者較易受到攻擊。

對於非官方修補程式，微軟一般都是建議使用者避免採用，但過去以來，已有不少資安業者、甚至是個別的研究人員曾針對微軟的重大漏洞推出非官方修補程式，仍有捧場的使用者。（編譯/陳曉莉）