Windows XP出現重大漏洞　微軟緊急推出修補程式

| | | | | | 留下回應

    

雖然微軟一直宣傳說Windows XP是它有史以來最安全的一款作業系統，然而公司在週四時發出安全漏動的臭蟲修補程式，這個漏洞極可能讓某些人的電腦遭駭客利用。

微軟建議，所有的Windows XP的消費者最好都立即安裝此修補程式。公司指出，另一些使用Windows 98、Windows 98 SE及Windows Me「通用隨插即用」（Universal Plug and Play，UPnP）功能的消費者也要用這個修補程式。

UPnP是微軟的一種軟體，它使用網際網路協定讓一些電腦、掃描器，及印表機等裝置能夠自動發現彼此，並能夠互相溝通。微軟表示，有駭客發現了這個漏洞，可以利用這個功能在網路上操控其他電腦。而依駭客功力的高低不同，他們可以完全控制其他電腦──例如刪除檔案或看檔案內容──或者藉此發出「DoS」（服務阻斷，denial-of-service）的攻擊，也就是用氾濫的資料塞爆電腦，讓電腦受創。

視窗的使用者可以從微軟的網站下載該軟體。微軟的高層表示，由於Windows XP裡的UPnP功能是打開的，因此每位XP的使用者都需要該修補程式。微軟安全回應中心經理Scott Culp表示：「這是個相當嚴重的弱點。Windows XP的使用者必需馬上用這個修補程式。」

Culp表示，至於Windows Me或Windows 98的使用者，只有跑UPnP的才需要這個修補程式。Windows Me在推出時已經內建了UPnP，但是安裝作業系統時該功能的預設值為關閉。而Windows 98並未內建UPnP，因此，除非使用者有另外自行安裝UPnP，否則並不需要修補程式。

UPnP是一種網路軟體，在科技公司及電腦使用者之間正逐漸普及開來。例如，印表機製造商已經開始支援該功能，好讓印表機能夠在網路上輕易地與電腦連線。

UPnP同時也是微軟的一項願景，要讓電腦、印表機，以及其他的週邊裝置，能夠自動地發現到彼此，而且不需經過使用者在電腦上做任何特殊的設定就能夠彼此溝通。而讓「一切連網」（everything connected）之後，人們就可以在居家進行視訊會議，或者是玩團體的連線遊戲。

Culp表示，駭客利用UPnP安全漏洞的方法有很多。有些人知道某台電腦的IP（網際網路協定）位址後，如果這個網路沒有防火牆的保全，則駭客可能透過網際網路操控這台電腦。不過，大部份的公司，以及許多的消費者都已有安裝防火牆阻止這類型的入侵。

更嚴重的則是，洞悉網路內部的駭客不需要知道電腦的IP位址就能夠操控其他電腦。Culp表示，通常這種情況是發生在Cable上網上，鄰近的電腦分享同一條Cable網路。「大部份的cable數據機的使用者，通常都會有一條實體線路供給一群鄰居使用，而這條線路當中的任何人都可以在不必知道IP位址的其況下攻擊其他電腦。」

這個漏洞是由加州的一家「電眼數位」安全公司（eEye Digital Security）所發現，並在六週前報告給微軟知道。eEye的「駭客長」（chief hacking officer）Marc Maiffret表示。

雖然Maiffret認為這個破洞是「視窗有史以來最糟的安全破洞」，但是他相當稱許微軟的反應，快速而明智地阻止可能的傷害。他表示，微軟很努力和他們合作將修補程式做好，「微軟深知人非聖賢，孰能無過；但你必須要有一個防備機制，當事情發生時，能夠快速且適當地回應這些事情。」(郭和杰)