微軟公布7個重大更新　修補19個漏洞

微軟在本周一（5/8）發表5月的例行性更新，提供7個更新程式，修補19個漏洞，這七個更新程式皆被列為最高等級的「重大」（critical）更新，意謂著可能讓駭客掌控整個系統。

微軟此次修補了DNS零時差漏洞、視窗漏洞、Exchange漏洞、IE漏洞與辦公室軟體漏洞等，資安業者認為此次最重要的安全更新當屬Exchange Server及DNS漏洞。

在MS07-023修補的是Excel中的多個漏洞，包含Excel處理惡意BIFF檔案的漏洞、Excel處理夾帶特定font values的Excel檔案漏洞，以及Excel處理過濾檔案的漏洞，駭客只要製作惡意的Excel檔案就能透過網站或是電子郵件附加檔案進行遠端攻擊。

MS07-024修補的則是數個Word漏洞，包括Word陣列溢位、Word文件串流以及Word RTF分析漏洞，這些漏洞都能讓駭客利用惡意檔案透過電子郵件或網站感染，再進行遠端攻擊。

MS07-025修補的亦是Office漏洞，該漏洞存在於Office處理繪圖物件的方式，駭客可以在Office分析一個檔案並執行惡意繪圖物件時開採該漏洞，該漏洞影響Word、Outlook、PowerPoint等辦公室軟體元件。

MS07-026修補微軟Exchange Server中的4個漏洞，涵蓋Outlook Web Access處理描述性語言附加檔案的漏洞、處理行事曆內容的漏洞、MIME解碼惡意電子郵件訊息的漏洞，以及處理無效IMAP要求的漏洞，當中有些漏洞可造成阻斷式服務攻擊，MIME漏洞則能讓駭客掌控整個系統。

MS07-027更新IE中的6個漏洞，這些漏洞可能導致遠端程式攻擊，並影響了最新作業系統Vista與64位元的Vista版本。MS07-028更新CAPICOM（Cryptographic API Component Object Model）中的漏洞，可讓駭客掌控整個系統，影響CAPICOM與BizTalk。

最後一個安全通報─MS07-029則是修補視窗DNS服務漏洞，這是一個零時差攻擊漏洞，並且已有駭客發動攻擊，可將連結特定DNS的使用者轉向其他惡意網站。

賽門鐵克安全回應中心新興技術總監Oliver Friedrichs指出，駭客已逐漸轉向攻擊應用程式及瀏覽器漏洞，並透過社交技術策略來取得系統掌控權以執行任意程式，對使用者保護自己而言，透過更新最新的修補程式是重要的，此外在連結到網路時也要有安裝全面安全防護的觀念。