微軟於本周二(5/13)的例行性更新中釋出8個安全公告,修補13個位於Windows、IE與Office的漏洞。這也是微軟於4月終止對Windows XP及Office 2003支援後的第一次例行性更新,更新名單中不再有XP及Office 2003,但資安專家認為有絕大多數的漏洞仍然影響XP,讓XP岌岌可危。

此次的安全公告涵蓋了MS14-021至MS14-029,其中MS14-021是微軟本月初就已經為所有IE版本釋出的緊急更新,當時也為XP進行更新。而MS14-029則是IE的累積更新,包含了MS14-021。

除了MS14-021之外,其他的安全公告中所列出的受影響產品皆無XP,資安業者認為,這並不是因為這些漏洞不影響XP,而是因為微軟已不再支援或修補XP。

雲端安全服務供應商Qualys技術長Wolfgang Kandek認為,在此次的安全公告中,與XP有關的至少有MS12-029、 MS12-024、MS12-025及MS14-023,其中,MS12-029修補的是IE漏洞,MS12-024修補的是視窗中的位址空間隨機載入(ASLR)漏洞,MS12-025修補視窗Group Profile漏洞,MS14-023則是修補Office漏洞,涉及微軟同樣也已停止支援的Office 2003。 Kandek表示,他們假設所有影響Windows Server 2003的漏洞都影響XP,因此絕大多數的作業系統漏洞都影響XP。 安全部落客Graham Cluley則預測,駭客與滲透專家將基於微軟的修補程式以反向工程來找出安全漏洞,並企圖攻擊已無修補程式的XP,也許很快就會有人在網路上揭露XP的漏洞或攻擊程式。

微軟公關經理Brandon LeBlanc則再度強調微軟對XP的支援已於4月8日終止,因此此次的例行性更新將不適用於XP, XP用戶不會再收到任何更新,微軟未來也不會再針對XP進行公開的更新。XP用戶仍然能夠繼續使用該作業系統,但將落入安全風險,未來該作業系統的效能也會受到影響。

LeBlanc說,經常有人問到微軟為何要終止XP支援?現實情況是XP已超過10歲,從安全的角度來看,微軟的能力已不足以保護XP用戶所面臨的安全威脅,因此建議使用者升級到更安全的現代作業系統。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容