微软10日针对所有现行支持的Windows版本发布一项安全更新,修补可能造成攻击者以恶意影像文档,自远端操控系统的重大安全漏洞。
根据微软的公告,针对Windows 2000、XP、Vista、Server 2003和Server 2008发布的MS09-006安全更新,是修补一项影响Enhanced MetaFile(EMF)或Windows MetaFile(WMF)显示格式所制作之影像的弱点。
安全厂商Qualys首席技术官Wolfgang Kandek说:“攻击者可以发出内含恶意影响的电邮,或(引诱)你前往内有恶意影像的网站,或从别处取得影像,如超小型U盘。”
赛门铁克安全应变中心(Symantec Security Response)开发副总Alfred Huger提醒,攻击者也能将。WMF和。EMF文档伪装成其他影像文档格式,如。JPG,以蒙骗小心的使用者。
同样在10日修补的还有另两个列为“重要”的漏洞。攻击者可借此伪装成他人,进行诈骗。受影响的同样包括所有现行Windows系统。
其中一项针对Windows 2000、Server 2003和Server 2008的重要更新,补救了两个私下通报和两个已曝光的Windows DNS服务器与Windows WINS(Windows域名服务器)弱点。这些漏洞能让攻击者将网络流量重新导向恶意网站。
第二个重要更新MS09-007,是针对所有现行Windows系统。该弱点位于Windows系统的Secure Channel安全封包,攻击者可借此取得终端使用者要求授权所用的认证。微软表示,顾客只有在认证所用的公共金钥元件曾被其他某种手段取得时,才会受到影响。Kandek则表示,由于使用相关技术的公司很少,这个漏洞的风险应可降到最低。
微软尚未对上月曝光的Excel漏洞提供补救方案,该漏洞早在去年12月就出现零时差攻击程序。