資安公司：DLL漏洞很多還未修補

微軟在11月9日大規模修補DLL漏洞，但資安公司ACROS表示，自微軟發佈新型態的DLL漏洞攻擊警訊到釋出修補程式總共已97天時間，但目前只修補15%的漏洞，成績不如其他廠商及開放源碼程式。

ACROS引用Secunia的資料及他們自己整理類似植入式漏洞資料，發現已知的151個DLL植入漏洞中只修補了23個，而一般程式與DLL有關的EXE植入漏洞共八個，僅剩一個還未修補。

在未公開的漏洞中，已知DLL漏洞有66個，4個已修復，有28個程式有漏洞，均未修補。作者ACROS的執行長Mitja Kolsek還提出警告，可能連軟體開發廠商也不清楚他們程式所使用的DLL是有漏洞的。

他強調DLL漏洞影響甚鉅，因為系統必須使用這些DLL協助軟體執行特定功能，如果DLL漏洞不修補，使用這些DLL的軟體就必定受到影響，而這些漏洞不僅導致暴露在網路的電腦遭受遠端綁架攻擊，企業內部網路也可能遭受二進位植入等方式攻擊。（編譯/沈經）