微軟計畫緊急修補.ani漏洞

微軟計畫將在週二（4/3）緊急釋出視窗作業系統處理動態游標（.ani）的漏洞修補程式。

微軟安全回應中心計畫經理Christopher Budd上周末在部落格中表示，因為他們在周末發現針對該漏洞的攻擊有增加的趨勢，此外其概念性驗證程式已被公開揭露，因此計畫最快會在周三釋出修補程式。

.ani經常被網頁開發人員用來提供動態游標以改善網站使用經驗，駭客只要在網站上的.ani檔案中嵌入惡意程式，當使用者執行超連結並造訪惡意網站時就可能受到感染，該漏洞被資安業者列為零時差攻擊漏洞及高度風險等級，而且早有駭客展開攻擊。該漏洞影響所有的視窗版本，包括最新的Vista在內。

Christopher Budd說，他們在去年12月就收到這起漏洞報告，當時旋即展開調查並進行漏洞修補，此一修補程式原本預計要在4月10日的例行性更新日提供，但近來的攻擊提昇了該漏洞的風險，因此加速該修補程式測試時程並提前推出。

事實上，資安業者Websense在上周末就提出警告，指出他們已偵測到逾一百個網站含有利用該漏洞的惡意網頁，這些網站多半使用.com網域，主要位於中國，而且針對該漏洞的概念性驗證程式也被公布，這些攻擊程式主要是用來竊取使用者密碼。

除了微軟計畫緊急修補該漏洞外，其他組織在上周就相繼發表非官方修補程式，包括資安業者eEye及非營利組織─零時差緊急回應小組（Zeroday Emergency Response Team，ZERT）皆在網站上提供修補程式下載。（編譯/陳曉莉）