微軟在上周發出警告,Microsoft Jet Database Engine含有緩衝區溢位漏洞,已發現駭客利用該漏洞透過Word進行攻擊以取得使用者權限。
目前微軟僅發現駭客利用惡意的Word檔案進行漏洞攻擊,但由於Jet支援許多應用程式,因此不排除其他應用程式也可能成為被駭的管道。
Microsoft Jet Database Engine主要提供應用程式的資料存取功能,涵蓋微軟旗下的Microsoft Access、Microsoft Visual Basic,以及其他第三方應用程式。該資料庫引擎同時也支援IIS(Internet Information Services)應用程式的資料庫存取。
微軟指出,他們正調查相關事件的影響,以及該漏洞是否也波及其他應用程式,並根據客戶需求決定在每月例行性更新中修補該漏洞,或是提供緊急修補。
可能遭受攻擊的作業系統及Word版本包括Windows 2000/ XP,及Windows 2003 SP3上執行的Word 2000 SP3 / 2002 SP3 / 2003 SP2/ 2003 SP3/ 2007/ 2007 SP1等。
微軟表示,使用Msjet40.dll 4.0.9505.0以前Jet Database Engine版本的作業系統都會受到影響,採用較新版本的Windows Server 2003 SP2、Windows Vista及Windows Vista SP1則未受到波及。
微軟指出,目前僅有目標式攻擊企圖利用該漏洞,而且其攻擊手法要求使用者要執行多個步驟才能成功,因此該漏洞風險是有限的。微軟描述駭客透過網頁攻擊的手法指出,駭客要先設立一個含有惡意Word檔案的網站,然後誘導使用者連到該站,並下載及開啟該Word檔案才可能受到影響。微軟亦警告使用者不要開啟自不知名寄件者透過電子郵件傳來的Word檔案。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
