微軟修補IE及Exchange重大漏洞

微軟在周二（2/10）釋出四個安全更新程式修補8個軟體漏洞，其中與IE及Exchange有關的更新被列為重大（Critical）更新，另外兩個與SQL Server及Visio有關的則被列為重要（Important）更新。

其中，MS09-002修補的是IE的兩個重大漏洞，該漏洞僅影響IE 7，而未擴及其他微軟瀏覽器版本。當使用者利用IE 7瀏覽到惡意網站時，可能導致駭客執行遠端程式攻擊。

微軟甫於去年12月釋出緊急更新修補IE 7的零時差漏洞，該漏洞為資料繫結（data binding）漏洞。先前資安業者不慎在網路上洩露該漏洞細節後旋即引發攻擊行動，使得微軟不得不進行緊急更新。而對於最新的IE 7漏洞，微軟表示尚未發現任何攻擊行動。

MS09-003修補的則是微軟Exchange中的兩個漏洞，其中一個漏洞可能讓駭客取得使用者在Exchange伺服器上的權限，另一個漏洞則能引發阻斷式服務攻擊。

MS09-004修補一個SQL Server上的安全漏洞，該漏洞可能導致資料隱碼攻擊（SQL injection）並讓駭客自遠端執行程式。

MS09-005修補了存在於Microsoft Office Visio中的三個漏洞，當使用者開啟一個惡意的Visio檔案，駭客就可能取得使用者權限，安裝程式或變更電腦資料及設定。

Shavlik Technologies技術長Eric Schultze在部落格中表示，MS09-004是此次最有趣的修補，該程式修補了Sec-Consult在去年12月揭露的SQL Server零時差漏洞，該漏洞可讓駭客在受影響的SQL Server上執行程式，雖然要攻擊該漏洞門檻較高，因為駭客得先被授權進入SQL Server上，不過駭客仍可透過資料隱碼攻擊利用該漏洞。

Schultze指出，攻擊該漏洞的概念性驗證程式已被公布在網路上，即使微軟表示他們並未看到攻擊行動，而且他懷疑微軟可能因為攻擊該漏洞要先取得授權因此忽略該漏洞的重要性，他認為這應該被列為重大更新。（編譯/陳曉莉）