微軟修補IE零時差漏洞

微軟於周二（12/8）的例行性更新中釋出了6項更新，修補12個安全漏洞，包括今年11月曝光的IE零時差漏洞，以及位於視窗與微軟Office中的漏洞。

微軟此次的安全更新有三項被列為重大（Critical）更新，其中的MS09-072為針對IE的累積安全更新，修補了4個未被揭露的漏洞及1個已被公開的漏洞。駭客早在今年11月就釋出了該零時差漏洞的攻擊程式，微軟將MS09-072列為最應優先部署的安全更新，並表示更新所修補的5個漏洞皆屬於重大等級而且都位於第一攻擊指數，代表很可能遭受攻擊。受影響的IE版本為IE6與IE7。

MS09-071修補了微軟視窗網路認證服務（Internet Authentication Service）中的兩個漏洞，可能讓駭客用來掌控使用者電腦。

MS09-074修補的是Office Project的一個漏洞，當使用者開啟一個特製的Project檔案時，駭客便有機會取得使用者權限。

被列為重要（Important）更新的則是MS09-069、MS09-070及MS09-073。其中，MS09-069修補視窗中區域安全認證子系統服務（Local Security Authority Subsystem Service，LSASS）的一個漏洞，駭客藉由傳遞特製的ISAKMP訊息到該服務就能發動阻斷式服務攻擊。

MS09-070修補視窗中主動目錄聯邦服務（Active Directory Federation Services，ADFS）的兩個漏洞，若網路伺服器啟動ADFS功能，駭客可藉機傳送特製的HTTP請求，並進一步自遠端執行惡意程式。

MS09-073則是修補微軟WordPad及Office文字轉換工具中的漏洞，若使用者在WordPad或Office中開啟特製的Word 97檔案，駭客便能開採該漏洞並取得使用者權限。（編譯/陳曉莉）