微軟Office出現零時差攻擊漏洞

微軟在本周公布兩個產品漏洞報告指出，針對Microsoft Access的Snapshot Viewer及Word 2002 SP3分別含有安全漏洞，可能導致遠端程式攻擊，同時已出現攻擊案例。

Snapshot Viewer提供未安裝Microsoft Office Access標準版或run-time版本的使用者可檢視Access的內容，當使用者瀏覽惡意網頁時，駭客可以透過該漏洞執行遠端程式，並取得使用者權限，該漏洞影響Office Access 2000、Office Access 2002及Office Access 2003等版本所使用的Snapshot Viewer。

駭客可能透過電子郵件或是即時傳訊夾帶惡意網頁連結，微軟提出幾個可能降低風險的暫時性措施，包括在IE中關閉執行COM物件的設定、在IE中設定要執行Active Scripting前提醒使用者或是直接關閉Active Scripting，以及將瀏覽器安全設定設為最高等級。

在微軟揭露Access Snapshot Viewer零時差攻擊漏洞的隔天，微軟再度公布另一安全報告，指出正在調查Microsoft Office Word 2002 SP3中的漏洞，而且已知有少數針對該漏洞的目標式攻擊行為。不過，微軟並未說明Word 2002中的漏洞，僅表示駭客可能透過惡意的doc檔進行遠端程式攻擊，以及並未殃及其他Word版本及其他辦公室軟體檔案格式。

微軟指出，該漏洞讓駭客可取得使用者權限，因此建議使用者降低權限等級以減少可能受影響的程度。此外，不論是透過電子郵件或網頁進行攻擊，都需要借助於使用者開啟惡意檔案。微軟亦建議使用者暫時利用Word 2003 Viewer或Word 2003 Viewer SP3開啟Word檔案。微軟仍在調查上述兩個零時差漏洞，尚未決定修補時程。（編譯/陳曉莉）