微軟一次修補數十個漏洞

留下回應

分享

    

微軟週二一股腦發佈至少20個Windows漏洞的修補程式，其中數個漏洞可以導致各個版本的Windows遭受新病毒和蠕蟲的攻擊。

其中至少6個漏洞使Windows系統面臨類似「MSBlast」及其變種蠕蟲病毒的攻擊。另有一個漏洞影響IE瀏覽器、Outlook以及Outlook Express共用的一個檔案，這一漏洞可以導致用戶在連上某個Web鏈結時執行相關病毒程式。

微軟發佈了四個修補程式以修正這20個安全漏洞，這也是微軟每月定期更新計畫的一部分。微軟沒有確定這些漏洞的風險級別，但指出，使用這些修補進行了系統更新的公司將不會再有危險。微軟安全反應中心安全專案經理Stephen Toulouse表示，有開啟了個人防火牆的用戶所面臨的風險較低。

其中最大的一個修補為MS04-011，修補至少14個安全漏洞。「說明與支援」的一個安全漏洞牽涉到Windows 2003和Windows XP。微軟WMF圖片格式的一個漏洞可以使攻擊者建立一個控制Windows NT、2000或者XP電腦的數位圖檔。這14個漏洞中至少有6個可以導致Windows電腦遭遠端控制。

Toulouse表示，微軟刻意不逐一發佈，而是採整梯公布，如此可以涵蓋比較全面的範圍。「與其在三個月中不斷傳送同一個檔案的修正檔，還不如提供一次全部修補的機會。」

不過，部分安全人員卻對微軟這種作法略有怨言，他們認為微軟的策略其實是著眼於公關門面，而非為了客戶便利著想。

「這些作法凸顯微軟進來的安全新趨勢：他們寧願讓客戶的漏洞空著不補，然後累積到一定程度在一次發出修補檔，如此外界就會有漏洞變少了的印象。」eEye數位安全駭客長Marc Maiffret表示。

eEye公司貢獻了此次修補檔中的六個漏洞，Maiffret之前則曾批評過微軟修個漏洞要花上200天，他指出微軟這次的漏洞花了216天才修好。

其他安全研究人員則抱持比較同情的看法。

「微軟花了多少時間修補漏洞應該依照每個漏洞的性質來看，」漏洞評估公司Qualys技術長Gerhard Eschelbeck表示。Qualys貢獻了週二發表修補程式中的兩個漏洞。Eschelbeck表示，其中一個跟多數Windows版本有關的網路程式碼漏洞只花了微軟兩個月時間就修好了。

「這次推出的修正程式很多都是之前的衍生版本，」Eschelbeck說，「一般來說，只要有人發現某一程式碼中有漏洞，其他人就會跟進在同一程式碼中做尋找。」（陳奭璁整理 ）